来正在被大规模利用使用风格如果您将其用作安全边界您希望尽快修补年月日á漏洞月日研究团队的和发布了他们关于漏洞的博客系列的第二部分就在他们关于该主题的黑帽演讲结束一天后。该博客系列的第一部分于年月日发布详细介绍了这是他们在中发现的一个严重的预身份验证漏洞在博客中提到了该漏洞。他们的博客系列的第二部分详细介绍了他们对的中几个漏洞的分析和发现。和报告说他们发现超过台服务器托管并。
补充说它在亚洲和欧洲很常见研究人员详细介绍了中的五个漏洞跨站点 斯洛文尼亚 WhatsApp 号码列表 脚本预身份验证堆溢出预身份验证不当授权魔术后门堆溢出身份验证后请注意分数是每晚计算的。此博客于月日更新以反映当前的分数。攻击者似乎正在利用这是尝试从系统请求语言文件的方式中的一种预身份验证任意文件读取漏洞。利用此漏洞攻击者可以读取的内容这是一个包含易受攻击系统上的用户名和明文密码的会话文件。根据和的说法可以与配对中的身份验证后堆溢出漏洞。
当攻击者指示代理到托管攻击文件的攻击者控制的服务器时可能会触发。的漏洞图片来源和在中发现的另一个值得注意的漏洞是研究人员利用该漏洞称之为魔法后门。该名称源自名为的特殊参数该参数用作无需身份验证即可重置密码的密钥。但是攻击者需要知道魔法字符串是什么才能重置密码。虽然和没有在他们的发现中公开这条神奇的弦但其他研究人员已经设法重现了它看起来魔法字符串已经公开所以我们预计它很快就会被攻击者使用漏洞中的任。