Baru saja saya mendapat informasi dari teman tentang vulnerabilities pada aplikasi Mundi. Mundi, adalah aplikasi pengelola e-mail yang digunakan oleh pelbagai perusahaan/institusi.

Kali ini, Mundi yang ngebug adalah Mundi 0.8.2 (mungkin sebelumnya juga). Cukup fatal tampaknya, karena penyerang bisa melakukan eksekusi perintah secara remote dan berulang. Kesalahan ini diakibatkan pada Input Validation yang kurang sempurna.

Sebagai contoh, URL yang bisa digunakan untuk menyerang antara lain:

http://www.example.com/admin/satus/index.php?mypid=[command]
http://www.example.com/admin/satus/index.php?idtag=[command]

Bagi yang ingin membuat exploitnya, ditunggu! :D. Untuk sementara solusi dari Mundi sebagai pembuatnya belum ada, terus pantau update dari Mundi bagi yang menggunakan aplikasi ini atau edit langsung bug ini. Semoga beruntung!