Top 5 razões para implantar VMware com Tegile
Paypal fechou uma vulnerabilidade de execução remota de código no seu serviço cerca de 18 meses depois que se relatou.
As falhas relatadas no início deste mês classificado como crítico pela Lab vulnerabilidade afetou um aplicativo perfil Paypal núcleo.
"A vulnerabilidade de execução de código arbitrário específico sistema foi descoberto no oficial no oficial PayPal Inc aplicação web e API", fundador e pesquisador Benjamin Kunz mejr escreveu em uma revelação .
"A exploração bem sucedida dos resultados de vulnerabilidade em execução não autorizada de códigos específicos do sistema, WebShell injeta via método POST, pedidos caminho / valor arquivo não autorizadas de comprometer a aplicação ou os componentes do módulo conectados."
"A vulnerabilidade de execução de código arbitrário específica do sistema está localizado no portal de desenvolvedores da API com conexão e acesso à conta para a API do portal Paypal".
Kunz mejr também encontrou um desvio de filtro e bug persistente durante seu teste de penetração no mesmo local parâmetro vulnerável.
Ele disse que os atacantes com uma conta de usuário na mão poderia carregar o script e remotamente executar código arbitrário para acessar arquivos web-servidor locais e configurações.
A exploração da vulnerabilidade de execução de código do sistema específica necessária apenas uma baixa conta privilegiada Paypal com acesso restrito e não precisa de interação do usuário.
Os atacantes poderiam incluir um quadro com um pedido local através de contexto confiável para capturar os dados do sistema não autorizadas e poderiam implantar injeta WebShell poderia durante o ponto de execução dos usuários do PayPal perfil, disse ele.
"O vetor de ataque é no lado do aplicativo do serviço Paypal eo método de injeção é pedido POST (API dev e Central de Ajuda). O risco da vulnerabilidade injetar comando / caminho local de segurança é estimado como o meio com uma contagem CVSS de 9,1 . "
Paypal foi notificada em Abril de 2013 e envolvido em um feedback até que uma correção foi publicada em 25 de outubro deste ano e uma recompensa não especificada emitido por meio do programa bug bounty da eBay.
O bug foi o segundo recentemente divulgado pela Lab Vulnerabilidade no Paypal. Pesquisador Ateeq Khan relatou uma falha de gravidade média em serviço de transporte de Paypal que poderia permitir que um invasor injetar código malicioso em um formulário para direcionar usuários. ®
Nenhum comentário:
Postar um comentário