PayPal потребовалось 18 месяцев на исправление критической бреши в сервисе

Спустя 18 месяцев после обнаружения, компания PayPal исправила опасную уязвимость в своей системе, позволяющую удаленное выполнение кода. Уязвимость, обнаруженная специалистами компании Vulnerability Lab, содержалась в профиле приложения PayPal.

Как отметил исследователь и основатель Vulnerability Lab Бенджамин Кунц Мейр (Benjamin Kunz Mejr), успешная эксплуатация уязвимости позволяла осуществить не авторизованное исполнение специфических кодов системы и внедрить webshell посредством метода запроса POST для компрометации приложения или связанных компонентов модуля.

При помощи учетной записи пользователя преступники могли загрузить сценарий и удаленно выполнить произвольный код для получения доступа к файлам и конфигурациям локального web-сервера. По словам Кунц Мейра, для эксплуатации данной уязвимости необходима только учетная запись PayPal с низким уровнем привилегий и ограниченным доступом.

О данной уязвимости компания PayPal была проинформирована еще в апреле 2013 года. Исправленное обновление приложения было выпущено 25 октября текущего года.