La dernière version de torrent trader, un système PHP qui permet de créer un site de diffusion de fichiers torrents, souffre de 22 failles. Utilisateurs et administrateurs en danger.
Depuis plusieurs semaines, un grand nombre de trackers torrents, des sites dédiés à l'archivage et à la diffusion de fichiers torrents, se sont retrouvés avec un pirate dans leurs codes et autres petits secrets.
La plupart de ces sites exploitaient Torrent Trader Classic 1.09 (TTC), un outil PHP/MySQL qui permet de mettre en place un tracker et le forum qui va avec. Hier soir, lundi, un exploit a été diffusé sur la toile. Faille confirmée par un frenchies, PhOeNiX95. "Un internaute estonien, Waraxe, explique-t-il à la rédaction ST-Team, a travaillé sur le code source et a sorti un advisory public".
Plus qu'un exploit, 22 failles visant TTC 1.09 sont annoncées : Sql Injection dans "account-inbox.php", vulnérabilité dans "account-recover.php", possibilité de visiter le backup du site via une faille dans "backup-database.php", ...
Une alerte qui permet de définitivement calmer les ardeurs des utilisateurs inquiets de savoir si leur "logement" numérique de téléchargement était fiable et sécurisé. A noter que plusieurs XSS ont aussi été découverts.
__________________