Estaba haciendo unas pruebas y leí un poco del código, realmente se ve muy buggy, no pienso ir mas allá, lo dejo para que alguien mas se anime ;)
Ningun archivo valida ingreso de parámetros, la función de borrado masivo es vuln, permitiendo eliminar completamente un dominio, posiblemente se pueda hacer LDAP injection o cosas así. Lo verifique en la versión que aparece en el screenshot, no he probado nada en las versiones en desarrollo.Lo delicado del asunto es que a traves de un sistema web vulnerable, pueda tener control total de un PDC.
No hay comentarios:
Publicar un comentario