Один из пользователей «ВКонтакте» обнаружил в движке социальной сети ошибку, при помощи которой пользователь без прав администратора сообщества мог опубликовать на его странице видео. Баг оказался связан с функцией «Предложить новость». При выполнении определенной последовательности действий несанкционированный ролик появлялся в ленте публичной страницы без согласия и уведомления ее руководителей. Представители «ВКонтакте» сообщили, что ошибка уже исправлена.

Как выяснил пользователь социальной сети, пожелавший остаться неизвестным, эксплуатация уязвимости шла в четыре этапа:

  • Загрузить новое видео из файла через предназначенную для этого форму.
  • Закрыть вкладку со страницей загрузки видео, не сохраняя его.
  • Выбрать ранее загруженный ролик в любом из сообществ с активированной функцией «Предложить новость».
  • Вернуться к несохраненному видео и нажать кнопку «Готово», предварительно включив опцию «Опубликовать на моей странице».

Вместо размещения на личной странице пользователя новое видео попадало в ленту сообщества, которому ранее предлагалась публикация. При этом администратор страницы не получал уведомления о новом посте, а в его данных не указывалось, кто из модераторов одобрил запись.

Пользователь сообщил об обнаруженной уязвимости в службу поддержки социальной сети, но не добился от ее сотрудников признания недостатка. Он также открыл ветку с описанием проблемы на сайте HackerOne, однако ее заблокировали из-за дублирования информации.

В ответ на запрос издания TJ пресс-служба «ВКонтакте» сообщила, что информацию о баге передали разработчикам после первого же обращения пользователя. По словам представителей социальной сети, уязвимость уже устранена, а нашедший ее подписчик получит вознаграждение.

В марте этого года «ВКонтакте» отказалась признавать уязвимостью проблему, которая привела к утечке личной переписки пользователей через сервис SimilarWeb. Как выяснилось, сообщения оказались в открытом доступе через одну из программ, подключенных к API социальной сети. При этом владельцы скомпрометированных аккаунтов сами предоставили ненадежному приложению возможность читать их переписку.

Категории: Кибероборона, Уязвимости