В системе Merchant Webmoney Transfer обнаружена XSS уязвимость

image

Теги: Webmoney, уязвимости, XSS

Злоумышленник мог выполнить произвольный JavaScript сценарий в браузере пользователя.

Сегодня редакции SecurityLab.ru стало известно о наличии XSS-уязвимости в системе Merchant Webmoney Transfer. Уязвимость позволяла произвести XSS нападение на странице оплаты за покупку из-за недостаточной фильтрации входных данных в параметре LMI_PAYMENT_DESC.

Предоставлений PoC-код выглядел следующим образом:

По словам исследователя Аксенова Дмитрия, он связался с технической поддержкой Webmoney и сообщил об обнаруженной уязвимости, за которую предполагалось вознаграждение.

В предоставленной копии переписки сотрудники Webmoney уведомили исследователя, что им уже известно об уязвимости, а также попросили разработать боевой эксплоит для перевода денег со счета жертвы на счет атакующего.

На момент написания новости эта уязвимость уже была исправлена. По словам исследователя, вознаграждение за найденную уязвимость он не получил.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.