PayPal потребовалось 18 месяцев на исправление критической бреши в сервисе

image

Теги: уязвимость, PayPal, обновление

Уязвимость содержалась в профиле приложения PayPal.

Спустя 18 месяцев после  обнаружения , компания PayPal исправила опасную уязвимость в своей системе, позволяющую удаленное выполнение кода. Уязвимость, обнаруженная специалистами компании Vulnerability Lab, содержалась в профиле приложения PayPal.

Как  отметил  исследователь и основатель Vulnerability Lab Бенджамин Кунц Мейр (Benjamin Kunz Mejr), успешная эксплуатация уязвимости позволяла осуществить не авторизованное исполнение специфических кодов системы и внедрить webshell посредством метода запроса POST для компрометации приложения или связанных компонентов модуля.

При помощи учетной записи пользователя преступники могли загрузить сценарий и удаленно выполнить произвольный код для получения доступа к файлам и конфигурациям локального web-сервера. По словам Кунц Мейра, для эксплуатации данной уязвимости необходима только учетная запись PayPal с низким уровнем привилегий и ограниченным доступом.

О данной уязвимости компания PayPal была проинформирована еще в апреле 2013 года. Исправленное обновление приложения было выпущено 25 октября текущего года.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.