La vulnerabilidad de ejecución de código arbitrario había sidoreportada hace 18 meses por Benjamin Kunz Mejri y afectaba a la API y al sitio oficial PayPal.
La explotación exitosa de la vulnerabilidad permitía ejecutar código arbitrario y no autorizado para inyectar una Shell mediante el método POST, solicitar la descarga de un path/archivo no autorizado y comprometer la aplicación o los componentes del sitio.
Esa vulnerabilidad se encontraba en el portal de la API de desarrolladores pero Kunz Mejr también encontró otras vulnerabilidades y parámetros vulnerables. Los atacantes, con una cuenta de usuario válida, podrían subir scripts y ejecutar código remotamente para acceder a las configuraciones y a los archivos de servidor web. Mejr publicó una PoC que mediante un POST a la API de Paypal, podía inyectar código.
Fuente:https://blog.segu-info.com.ar/2014/11/paypal-tarda-18-meses-en-corregir-una.html
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
