Hola, administradores de IES Margarita Salas:
Me he encontrado con varias vulnerabilidades graves en vuestro sistema. No es mi intención causar daño, solo avisar para que podáis solucionarlo antes de que alguien con malas intenciones lo aproveche.
Problemas detectados:
- SQL Injection (SQLi) en varios formularios. (Ver Partes)
- File Upload inseguro que permite subir archivos maliciosos. (He conseguido subir una webshell)
- Contraseñas por defecto en casi todos los usuarios, especialmente en cuentas de administrador.
- El sistema parece no haberse actualizado desde 2019 (¡las contraseñas contienen el año 2019!).
No me he llevado ningún dato de las bases de datos, pero es urgente que:
- Cambiéis TODAS las contraseñas, especialmente las de administrador.
- Actualicéis el sistema y parcheéis las vulnerabilidades.
- Reviséis los logs por si alguien más ha intentado explotar estos fallos.
No es por asustar, es por ayudar. Un saludo.
Att: Un chaval de 14 años que sabe más de seguridad que vuestros admins. (No voy a este Instituto jeje)