В системе Merchant Webmoney Transfer обнаружена XSS уязвимость

В системе Merchant Webmoney Transfer обнаружена XSS уязвимость

Злоумышленник мог выполнить произвольный JavaScript сценарий в браузере пользователя.

Сегодня редакции SecurityLab.ru стало известно о наличии XSS-уязвимости в системе Merchant Webmoney Transfer. Уязвимость позволяла произвести XSS нападение на странице оплаты за покупку из-за недостаточной фильтрации входных данных в параметре LMI_PAYMENT_DESC.

Предоставлений PoC-код выглядел следующим образом:

По словам исследователя Аксенова Дмитрия, он связался с технической поддержкой Webmoney и сообщил об обнаруженной уязвимости, за которую предполагалось вознаграждение.

В предоставленной копии переписки сотрудники Webmoney уведомили исследователя, что им уже известно об уязвимости, а также попросили разработать боевой эксплоит для перевода денег со счета жертвы на счет атакующего.

На момент написания новости эта уязвимость уже была исправлена. По словам исследователя, вознаграждение за найденную уязвимость он не получил.


Телевизоры следят за нами, шпионы поколения Джеймса Бонда страдают от новых технологий, а неудачный пост в Whatsapp десятилетней давности может привести к тюремному сроку в нашем новом Youtube выпуске.