Уязвимость в PayPal позволяла злоумышленникам от имени платежного сервиса отправлять вредоносные письма

image

Теги: уязвимость, PayPal, вредоносный код

В рамках программы выплаты вознаграждений ИБ-эксперт Кунц Межри получил от компании $1 тыс.

Исследователь компании Vulnerability Lab обнаружил уязвимость в web-приложении PayPal, позволяющую внедрить вредоносный код в отправленное платежной системой электронное письмо.

При создании учетной записи в PayPal пользователь может привязать ее к нескольким электронным адресам. Для подтверждения их подлинности на каждый адрес система отправляет верификационный код. Обнаруженная исследователями уязвимость позволяет злоумышленнику создать учетную запись и внедрить в строку с указанием имени ее владельца произвольный HTML-код.

Осуществить атаку очень просто. Злоумышленник может привязать созданную им учетную запись к адресу жертвы и внедрить вредоносный код в строку с именем владельца. В таком случае PayPal отправит на почту жертвы подтверждающее письмо с вредоносным кодом, выполняемым после открытия сообщения. Пользователь ни о чем не догадывается, поскольку оно отправлено с легитимного адреса service@paypal.com , и система безопасности не идентифицирует его как вредоносное или спам.

Вышеописанная атака может использоваться в фишинговых кампаниях, для перехвата сеанса или перенаправления пользователей на подконтрольные злоумышленникам домены. Исследователи сообщили о ней PayPal в октябре прошлого года, и в текущем месяце компания выпустила исправление. В рамках программы выплаты вознаграждений ИБ-эксперт Vulnerability Lab Кунц Межри (Kunz Mejri) получил $1 тыс.

Ниже представлено PoC-видео, демонстрирующее эксплуатацию уязвимости.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.