Η Paypal επιδιόρθωσε μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα, περίπου 18 μήνες αφότου είχε αναφερθεί.
Η ευπάθεια που χαρακτηρίστηκε ως κρίσιμη από το Vulnerability Lab, επηρρέασε μια βασική εφαρμογή του Paypal. “Μια ευπάθεια εκτέλεσης κώδικα έχει ανακαλυφθεί στην επίσημη Διδικτυακή Εφαρμογή και το API της PayPal Inc”, αποκάλυψε ο ιδρυτής και ερευνητής Benjamin Kunz Mejr.
“Η επιτυχής εκμετάλλευση της ευπάθειας οδηγεί σε μη εξουσιοδοτημένη εκτέλεση κώδικα συστήματος, σε webshell injects μέσω της μεθόδου POST, σε μη εξουσιοδοτημένα path/file value requests, με στόχο την εφαρμογή ή τα συνδεδεμένα module components”.
“H συγκεκριμένη ευπάθεια εκτέλεσης system specific arbitrary κώδικα βρίσκεται στο developer API portal που έχει σύνδεση και πρόσβαση στο API του Paypal portal”.
Ο Kunz Mejr δήλωσε ότι οι επιτιθέμενοι είχαν τη δυνατότητα να αποκτήσουν πρόσβαση σε τοπικά αρχεία web-server και στις ρυθμίσεις του, χρησιμοποιώντας ένα script και εκτελώντας κώδικα απομακρυσμένα ενώ το μόνο που χρειάζονταν ήταν ένας απλός λογαριασμός χρήστη.
Η εκμετάλλευση της ευπάθειας απαιτούσε μόνο ένα λογαριασμό Paypal με χαμηλού επιπέδου δικαιώματα και περιορισμένη πρόσβαση ενώ η αλληλεπίδραση του χρήστη δεν ήταν απαραίτητη.
Η Paypal ενημερώθηκε τον Απρίλιο του 2013 και επιδιόρθωσε την ευπάθεια στις 25 Οκτωβρίου του τρέχοντος έτους.
