Эксплуатируя брешь, хакеры могут перенаправлять пользователей на произвольные web-сайты.
Компания HackerOne наградила ИБ-эксперта Даниела ЛеШеминанта (Daniel LeCheminant) за обнаружение серьезной XSS-уязвимости в их системе.
HackerOne разрабатывает программы по безопасности для нескольких организаций, а также занимается вопросами усовершенствования собственной системы. Компания уже успела поблагодарить 54 хакеров за помощь в нахождении брешей, но именно Даниел стал первым, кто выявил настолько серьезную уязвимость.
ИБ-эксперт обнаружил, что может выполнить произвольный HTML код в сообщениях о брешах и на других страницах, которые используют язык разметки Markdown.
Злоумышленники не могли воспользоваться этой уязвимостью, чтобы выполнить произвольный сценарий, но, в ходе демонстрации, с помощью ошибки, Даниелу удалось изменить визуальные элементы на странице. Не исключено, что хакеры могут перенаправлять посетителей ресурса на произвольные web-сайты, используя метод мета-обновления.
Компания HackerOne уже устранила данную проблему.