Η PayPal διόρθωσε μια ευπάθεια cross-site scripting (XSS) που βρίσκεται στη δυνατότητα μετατροπής νομισμάτων των user wallets.
Η ευπάθεια που περιγράφεται ως ζήτημα “reflected XSS και CSP bypass” αποκαλύφθηκε για πρώτη φορά στο HackerOne από έναν κυνηγό σφαλμάτων που έλαβε το ψευδώνυμο “Cr33pb0y”.
Το σφάλμα εντοπίστηκε στη δυνατότητα μετατροπής νομισμάτων των πορτοφολιών PayPal στο web domain PayPal.
Σε μια αναφορά, που δημοσιεύτηκε στις 10 Φεβρουαρίου – σχεδόν ένα έτος μετά την ιδιωτική αναφορά του ζητήματος από τον ερευνητή – η PayPal είπε ότι το σφάλμα υπήρχε στο endpoint μετατροπής νομίσματος και προκλήθηκε από την αποτυχία του σωστού ελέγχου της εισόδου των χρηστών.
Μια αδύναμη παράμετρος URL απέτυχε να “καθαρίσει” το input επιτρέποντας στους απειλητικούς παράγοντες να εισάγουν κακόβουλο JavaScript, HTML ή οποιονδήποτε άλλο κώδικα “που θα μπορούσε να εκτελέσει το πρόγραμμα περιήγησης“, αναφέρει το advisory.
Ως αποτέλεσμα, κακόβουλα payloads θα μπορούσαν να ενεργοποιηθούν στο Document Object Model (DOM) μιας browser σελίδας ενός θύματος χωρίς τη γνώση ή τη συγκατάθεσή τους.
Συνήθως, οι επιθέσεις reflected XSS “αντανακλούν” scripts από έναν web source σε έναν browser και ενδέχεται να απαιτούν από κάποιο θύμα να κάνει κλικ σε ένα κακόβουλο link για ενεργοποίηση. Τα payloads μπορούν να χρησιμοποιηθούν για να κλαπούν cookies, session tokens ή πληροφοριών λογαριασμού ή θα μπορούσαν να χρησιμοποιηθούν ως βήμα σε ευρύτερες επιθέσεις.
Μετά την αποκάλυψη της ευπάθειας, η PayPal έχει πλέον εφαρμόσει πρόσθετους ελέγχους επικύρωσης για να ελέγχει το user input στη δυνατότητα currency exchange και να εξαλείψει το σφάλμα.
Δεν έχει εκχωρηθεί CVE αλλά η ευπάθεια έχει κατηγοριοποιηθεί ως μέτριας σοβαρότητας. Στον ερευνητή δόθηκαν 2.900 $ ως οικονομική επιβράβευση.
Πηγή πληροφοριών: zdnet.com
 που βρίσκεται στη δυνατότητα μετατροπής νομισμάτων των user wallets.){kind=link}