США: PayPal потребовалось 18 месяцев на исправление критической бреши в сервисе

0

Спустя 18 месяцев после   обнаружения , компания PayPal исправила опасную уязвимость в своей системе, позволяющую удаленное выполнение кода. Уязвимость, обнаруженная специалистами компании Vulnerability Lab, содержалась в профиле приложения PayPal.


Как отметил исследователь и основатель Vulnerability Lab Бенджамин Кунц Мейр (Benjamin Kunz Mejr), успешная эксплуатация уязвимости позволяла осуществить не авторизованное исполнение специфических кодов системы и внедрить webshell посредством метода запроса POST для компрометации приложения или связанных компонентов модуля.

При помощи учетной записи пользователя преступники могли загрузить сценарий и удаленно выполнить произвольный код для получения доступа к файлам и конфигурациям локального web-сервера. По словам Кунц Мейра, для эксплуатации данной уязвимости необходима только учетная запись PayPal с низким уровнем привилегий и ограниченным доступом. О данной уязвимости компания PayPal была проинформирована еще в апреле 2013 г. Исправленное обновление приложения было выпущено 25 октября текущего года. (PayPal/NovostIT)