Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

PayPal a pris plus d'un an pour corriger une faille critique
Permettant d'exécuter du code à distance sur son service

Le , par Stéphane le calme

9PARTAGES

1  1 
Le service de paiement en ligne PayPal a colmaté une faille permettant d’exécuter du code à distance dans son service plus d'un an après qu’elle ait été signalée lors de son Bug Bounty Program. Le 05 novembre, Vulnerability Lab l’a rendue publique par l’entremise de Benjamin Kunz Mejri, l’un de ses chercheurs, en classant cette faille qui se situait au cœur de l’application de profil Paypal comme étant critique.

« Une vulnérabilité système permettant l’exécution d’un code à distance a été trouvé dans l’application web officielle de Paypal ainsi que dans son API » a-t-il écrit dans la section réservée aux détails techniques et à la description. « La vulnérabilité système spécifique d'exécution du code arbitraire se trouve dans le portail de l'API de développeur avec connexion et l'accès au compte sur le portail API Paypal ».

Voici comment a été décrite l’attaque : « tout d’abord, l’attaquant enregistre un compte d'utilisateur et joint aux valeurs de `cardholder confidential` ainsi que ‘accountSelName’ un script persistant malveillant ou des fichiers d’un serveur web local. Pour les besoins de l'attaque, les données du centre d'aide du profil malveillant nécessitent une deuxième inscription sur le portail développeur de l'API avec les mêmes informations d'identification (connecté). Les valeurs ‘accountSelName et `cardholder confidential` n’ont pas de limites sur les entrées ».

Kunz Mejr a également trouvé une dérivation de filtre et un bug persistant lors de son test de pénétration dans le même emplacement de paramètre vulnérable. Selon lui, il aurait suffi que les attaquants soient en possession d’un compte utilisateur pour charger un script leur permettant d’exécuter un code arbitraire à distance afin d’accéder aux fichiers et configurations du serveur web local. L'exploitation de cette vulnérabilité requiert seulement un compte Paypal avec de peu de privilèges ainsi qu’un accès restreint. L'interaction de l'utilisateur n’est pas nécessaire.

« Le vecteur d'attaque est du côté de l’application du service Paypal et la méthode de demande d'injection est POST (sur les modules dev API et Help Center) » a-t-il avancé. Paypal a été informé de cette faille le 26 avril 2013 et a corrigé cette faille le 12 octobre dernier. Il s’agit là de la seconde vulnérabilité divulguée par Vulnerability Lab sur Paypal

Source : Vulnerabilty Lab

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 22/11/2014 à 13:24
Haaaa l'inertie des grandes entreprises, quelle bonheur !
1  0