Сервера BEA Systems уязвимы для кражи личных данных

Организации, использующие популярный сервер производства компании BEA Systems, могут быть заинтересованы результатами исследований, которые показали, что есть простой путь для получения имен пользователей, зарегистрированных в их системах.

Такая утечка может произойти через функцию BEA Plumtree Portal 6.0, сообщают исследователи из ProCheckUp, компании, тестирующей сервера на уязвимости. Можно также получить не только имена пользователей, но и администраторов.

«Найденная уязвимость с учетом возможностей поиска позволяет получить все имена пользователей корпоративного портала, - пишут в информационном сообщении исследователи. – Причем хакер для просмотра данных компании сам не должен быть зарегистрирован, что очень привлекательно для кибератак».

Уязвимость серверов имеет тип "dumpable", что означает, что нет никакой необходимости управлять словарем, чтобы найти имя пользователя, как это часто бывает в случае со взломами пользовательских баз данных.

ProCheckUp также раскрыла две другие уязвимости, затрагивающие Plumtree. Исследователи, обнаружившие ошибки - Адриан Пастор (Adrian Pastor), член GNUCitizen, и Ян Фрай (Jan Fry).