El investigador Sijmen Ruwhof ha descubierto varios fallos de seguridad críticos del administrador de archivos PHP en web, los cuales dejan vulnerables a las bases de datos ante ataques de fuerza bruta, intentos de conexión y accesos remotos no autorizados.

"En este momento es posible descargar archivos confidenciales de Eneco, Nintendo, Danone, Nestlé, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC, 3M y también de un par de bancos, entre otras compañías", dijo Ruwhof en un blog.

El administrador de archivos es propenso a ataques de fuerza bruta debido a la debilidad del hash de la contraseña, que puede ser revertida a su formato original.

"Los hashes de las contraseñas almacenadas en la base de datos no se encontraban salteados y se generaron a través del algoritmo de hash MD5 el cual esta en desuso", dijo Ruwhof. Explicó que un atacante podría revertir los hashes de las contraseñas originales usando un servicio en línea de MD5 reverse.

El gestor de archivos también tiene una política de seguridad de contraseñas débiles, entre éstas la falta de variación en las contraseñas y medidas que no obligan al usuario a cambiar las contraseñas predeterminadas. Otros defectos incluyen una puerta trasera no segura, la capacidad para que los usuarios suban archivos arbitrarios y no autenticados, y la falta de configuración para restringir las extensiones de archivos.

Ruwhof también identificó varios riesgos de alta seguridad, incluyendo múltiples vulnerabilidades de cross-site scripting, la falta de autenticación o autorización para descargas y la posibilidad de cross-site request forgery. Varias de las vulnerabilidades fueron discutidas en privado con Revived Media Wire, la compañía que fabricó el software, hace casi cinco años.