Хакер под псевдонимом Warv0x обнаружил опасную XSS-уязвимость в eBuddy Web Messenger.
Участник группы хакеров из России, называющей себя Virtual Luminous Security, обнаружил XSS-уязвимость в крупнейшем IM-клиенте eBuddy. Злоумышленник может передавать сообщения с вложенным зашифрованным вредоносным кодом JavaScript.
Уязвимость существует из-за ошибки в функции обмена сообщениями. Злоумышленник может выполнить произвольный код в браузере жертвы.
Пример эксплоита:
<script>alert('eBuddy Persistent XSS');</script>
Закодированное сообщение: text=%3Cscript%3Ealert%28'eBuddy%20Persistent%20XSS'%29%3C/script%3E
Злоумышленник посылает закодированное сообщение:
Жертва получает закодированное сообщение и сценарий выполняется в браузере жертвы: