Baru saja saya mendapat informasi dari teman tentang vulnerabilities pada aplikasi Mundi. Mundi, adalah aplikasi pengelola e-mail yang digunakan oleh pelbagai perusahaan/institusi.
Kali ini, Mundi yang ngebug adalah Mundi 0.8.2 (mungkin sebelumnya juga). Cukup fatal tampaknya, karena penyerang bisa melakukan eksekusi perintah secara remote dan berulang. Kesalahan ini diakibatkan pada Input Validation yang kurang sempurna.
Sebagai contoh, URL yang bisa digunakan untuk menyerang antara lain:
http://www.example.com/admin/satus/index.php?mypid=[command] http://www.example.com/admin/satus/index.php?idtag=[command]
Bagi yang ingin membuat exploitnya, ditunggu! 
. Untuk sementara solusi dari Mundi sebagai pembuatnya belum ada, terus pantau update dari Mundi bagi yang menggunakan aplikasi ini atau edit langsung bug ini. Semoga beruntung!
Tulisan Terkait
Staff BPTIK Unnes, dan freelance programmer beberapa aplikasi berbasis VB6, PHP-MySQL, Java untuk Sistem Informasi, Plugin WordPress dan Plugin MOODLE. Bebas aktif sebagai Gusdurian, Nahdliyin dan simpatisan Partai Kebangkitan Bangsa dan Penggemar musik-musik karya Freddy Mercury QUEEN, Ahmad Dhani DEWA19 dan Piyu PADI serta penonton serial TV Stargate SG1, Ancient Aliens dan Mythbusters. 
No Comments on “Waspada Bug di Mundi Mail, Lagi”
You can track this conversation through its atom feed.