PayPal tardó 18 meses en corregir una vulnerabilidad de ejecución de código remota

Share this…

La vulnerabilidad de ejecución de código arbitrario había sidoreportada hace 18 meses por Benjamin Kunz Mejri y afectaba a la API y al sitio oficial PayPal.

La explotación exitosa de la vulnerabilidad permitía ejecutar código arbitrario y no autorizado para inyectar una Shell mediante el método POST, solicitar la descarga de un path/archivo no autorizado y comprometer la aplicación o los componentes del sitio.

PayPal tomó 18 meses para corregir una vulnerabilidad

Esa vulnerabilidad se encontraba en el portal de la API de desarrolladores pero Kunz Mejr también encontró otras vulnerabilidades y parámetros vulnerables. Los atacantes, con una cuenta de usuario válida, podrían subir scripts y ejecutar código remotamente para acceder a las configuraciones y a los archivos de servidor web. Mejr publicó una PoC que mediante un POST a la API de Paypal, podía inyectar código.

Fuente:https://blog.segu-info.com.ar/2014/11/paypal-tarda-18-meses-en-corregir-una.html