Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/10/2019
Vulnerabilidad descubierta en directo durante competición de captura de bandera
Estas competiciones buscan demostrar la pericia de los participantes
Las competiciones CTF, o capture the flag, son muy populares entre profesionales de la seguridad TI y ayudan a las empresas a detectar talento joven entre aficionados y curiosos.
Si bien estas competiciones tienen por objetivo vulnerar sistemas con debilidades deliberadas, en ocasiones como esta sucede que fortuitamente los analistas y participantes acaban dando con vulnerabilidades reales de los equipos atacados.
Con motivo de una de estas competiciones, se ha descubierto una importante vulnerabilidad en PHP que permite ejecutar código arbitrario.
Artículo completo en el siguiente enlace:
https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/
Detalles de la vulnerabilidad:
https://www.csirtcv.gva.es/es/alertas/ejecuci%C3%B3n-remota-de-c%C3%B3digo-en-librer%C3%ADa-oniguruma.html