Fallo de seguridad en Tuenti que permite obtener datos de usuarios

Se ha descubierto un fallo de seguridad en Tuenti móvil que permite obtener datos de usuarios (email, telefono, contraseña en MD5, nombre, apellidos,…)

En esta ocasión se trata de un fallo SQL Injection (true/false) que permite inyectar instrucciones sql en la base de datos a través del parámetro user_id de la web de Tuenti para móviles;

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+CODIGO_SQL&post_id=XXXXXXXX

Puedes leer más información en la web de Pepelux

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*Acepta la Política de Privacidad