Vulnerabilidade – SEI – H0pperI

Nosso sistema de Monitoramento Avançado Persistente detectou, em 28/01/19, publicação no site de compartilhamento de texto Pastebin que pode indicar vulnerabilidade no Sistema Eletônico de Informações.

A ação foi reivindicada pelo hacker brasileiro, H0pperI, que apresentou uma série de URLs que estariam potencialmente vulneráveis Ministérios/Órgãos Federais (MCTIC, Fazenda, MDIC), Agências Reguladoras (ANAC), Empresas Públicas (Correios, Incra, FioCruz, AEB, ICMBio, etc), Universidades Federais (UFU, UnB, UTFPR, UFV, UFRGS, etc…), Tribunais de Justiça (TJDFT, TJES, TRE-RR) e Governos Estaduais/Prfeituras (Londrina, Pernambuco, CREA/RS, Fazenda Rio de Janeiro, Rio Grande do Norte).

H0pperI – Leak – SEI

Há uma mensagem indicando as consequencias da vulnerabilidades descoberta:

VULNERABILIDADE #zeroday NO MÓDULO PESQUISA PÚBLICA DO SISTEMA SEI (Sistema Eletônico de Informações)

Vulnerabilidade: path traversal

NA MAIORIA DOS ALVOS ABAIXO É POSSÍVEL MIGRAR PARA UM LFI ATÉ UM RCE.