O HD FLV Player continua apresentando falhas de segurança

Leitor HD Flv

A atualização mais recente para Leitor HD FLV para Joomla, WordPress e sites personalizados, ele corrigiu um problema sério, mas deixou em aberto um mau funcionamento que permitiria a qualquer invasor enviar emails de spam.

O HD FLV Player foi instalado mais de 200.000 vezes em plataformas suportadas, sendo a versão Joomla a mais popular para o WordPress.

Os desenvolvedores lançaram recentemente uma atualização de segurança para um problema que permite que uma pessoa não autorizada baixe arquivos arbitrários para o servidor.

Sem nenhuma verificação de segurança para o arquivo, “download.php”, alguém que conhece a estrutura de URL de um arquivo, pode fazer o download de tudo do servidor. As consequências são graves, pois isso pode levar ao controle total do site e seu uso para fins fraudulentos.

Este item foi corrigido para essa falha de segurança, mas há uma semelhante no arquivo “email.php”. Nesse caso, sua exploração pode levar ao envio de e-mails.

Marc-Alexandre Montpas, da Sucuri, explicou em um blog na quarta-feira que, depois de filtrar as variáveis ​​usadas para enviar e-mails, o campo “referenciador” permanece válido para o envio de e-mails se corresponder à URL do site. Além disso, esse campo pode ser alterado para o que o invasor desejar.

No caso de usuários do Joomla e WordPress, a atualização do HD FLV Player já foi entregue, mas eles ainda precisam tomar alguma ação, pois esta versão lida apenas com downloads arbitrários de arquivos.

A recomendação é remover o arquivo “email.php” do site, para impedir que o endereço do servidor de email seja incluído na lista negra para o envio de emails com spam.

O HD FLV Player permite streaming de vídeo e suporta Flash e HTML5, tornando o conteúdo visível em computadores e smartphones. Os desenvolvedores incorporaram o controle sobre as opções do visualizador. Portanto, o administrador pode permitir funções como compartilhamento, controle de volume, download, visualização em tela cheia ou criação de listas de reprodução.

O plug-in é gratuito para Joomla e WordPress, com a única limitação o logotipo no clipe. Isso pode ser removido comprando uma licença.