Исследователь компании Vulnerability Lab обнаружил уязвимость в web-приложении PayPal, позволяющую внедрить вредоносный код в отправленное платежной системой электронное письмо.
При создании учетной записи в PayPal пользователь может привязать ее к нескольким электронным адресам. Для подтверждения их подлинности на каждый адрес система отправляет верификационный код. Обнаруженная исследователями уязвимость позволяет злоумышленнику создать учетную запись и внедрить в строку с указанием имени ее владельца произвольный HTML-код.
Осуществить атаку очень просто. Злоумышленник может привязать созданную им учетную запись к адресу жертвы и внедрить вредоносный код в строку с именем владельца. В таком случае PayPal отправит на почту жертвы подтверждающее письмо с вредоносным кодом, выполняемым после открытия сообщения. Пользователь ни о чем не догадывается, поскольку оно отправлено с легитимного адреса service@paypal.com, и система безопасности не идентифицирует его как вредоносное или спам.
Вышеописанная атака может использоваться в фишинговых кампаниях, для перехвата сеанса или перенаправления пользователей на подконтрольные злоумышленникам домены. Исследователи сообщили о ней PayPal в октябре прошлого года, и в текущем месяце компания выпустила исправление. В рамках программы выплаты вознаграждений ИБ-эксперт Vulnerability Lab Кунц Межри (Kunz Mejri) получил $1 тыс. (PayPal/NovostIT)