Обнаруженная XSS уязвимость позволяла выполнить произвольный js код на страницах социальной сети.
Сегодня на тысячах страниц вконтакте появились странные посты. Вредоносный скрипт, эксплуатирующий XSS уязвимость ( https://github.com/rzhaka/prikol/blob/master/yrap.js ), автоматически размещал следующую публикацию на страницах, администрируемых жертвой:
Ссылка в новости ведет на пост в группе «Команды ВКонтакте».
Скорее всего обнаруженная уязвимость могла привести к более серьезным последствиям, в том числе и кражам учетных записей, учитывая факт того, что в соцсети не настроена базовая политика Content Security Policy.
Представители «ВКонтакте» рассказали, что держат ситуацию под контролем, а нежелательные публикации начали удалять в течение первой минуты после обнаружения уязвимости.
