В eBay устранены уязвимости раскрытия данных и загрузки файлов на сайт

В eBay устранены уязвимости раскрытия данных и загрузки файлов на сайт

Эксплуатация брешей позволяла загрузить на сайт исполняемый файл и сформировать URL для его скачивания посетителями ресурса.

Как сообщает Threat Post со ссылкой на разработчиков популярного интернет-аукциона eBay, они устранили в web-сервисе две опасные уязвимости, одна из которых позволяла загрузить на сайт произвольный исполняемый файл и сформировать полный URL для его дальнейшего скачивания посетителями ресурса.

Данная уязвимость существовала из-за ошибки на одной из страниц eBay, в результате которой сервис некорректно проверял заголовки некоторых изображений, загружаемых клиентами интернет-аукциона. Потенциальный злоумышленник мог воспользоваться этим для того, чтобы замаскировать вредоносный файл под легитимное изображение.

«Серверы eBay ранее проверяли не сами документы, а только присвоенное им в заголовке расширение, что позволяло атакующим загружать документы в формате .exe, .pdf и т.д.», - поясняют разработчики.

Вторая брешь позволяла атакующим раскрыть точный путь к загруженному на сервер файлу, что значительно повышало опасность потенциальной атаки.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!