PayPal tardó 18 meses en corregir una vulnerabilidad de ejecución de código remota

La vulnerabilidad de ejecución de código arbitrario había sido reportada hace 18 meses por Benjamin Kunz Mejri y afectaba a la API y al sitio oficial PayPal.

La explotación exitosa de la vulnerabilidad permitía ejecutar código arbitrario y no autorizado para inyectar una Shell mediante el método POST, solicitar la descarga de un path/archivo no autorizado y comprometer la aplicación o los componentes del sitio.

Esa vulnerabilidad se encontraba en el portal de la API de desarrolladores pero Kunz Mejr también encontró otras vulnerabilidades y parámetros vulnerables. Los atacantes, con una cuenta de usuario válida, podrían subir scripts y ejecutar código remotamente para acceder a las configuraciones y a los archivos de servidor web. Mejr publicó una PoC que mediante un POST a la API de Paypal, podía inyectar código.
La vulnerabilidad fue notificada el 23 de abril de 2013 y solucionada el 25 de octubre pasado (18 meses después) y Mejr fue recompensando a través del programa de recompensas de eBay.

Fuente: The Register

Suscríbete a nuestro Boletín