联合国 WordPress站点被曝路径和信息泄漏漏洞，数千份简历遭公开访问

翻译：360代码卫士团队

渗透测试公司 Seekurity 的研究员 Mohamed Baset 从联合国的一个 WordPress 网站上发现路径泄露和信息泄露漏洞，导致任何人均可访问2016年以来职位申请人的简历。他指出数千份文档受影响。联合国实际上曾收到一份私密报告，但仍未修复该漏洞。

Baset 注意到，联合国职位申请人可通过一款配置不当的 web 应用程序发送简历，从而导致任何人均可访问存储着求职者的目录索引。

虽然修复该问题比较容易，但 Baset 表示发出报告后并未收到回复。

Baset 在8月6日发出要求说明泄漏状态和宣布公开该漏洞报告后的一个月后，收到了回复。他指出，“某个来自 UN@Security 的人”表示漏洞并不“归联合国秘书处处理，而是由联合国开发计划署处理”，这份信函发自9月5日。

向infosec@un.org 负责任地发出以上提及和未提及问题及解决问题后的第48天，Baset 决定公开漏洞详情。

Baset 建议 WordPress 网站所有人将网站及插件更新至最新版本，而且将敏感文件设置为不被公众访问，以及在 /wp-cont/* 下限制对所有文件夹的访问权限。

原文链接

https://www.bleepingcomputer.com/news/security/united-nations-wordpress-site-exposes-thousands-of-resumes/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。