Zuhause > Cyber ​​Aktuelles > PayPal hat einen beängstigenden Fehler bei der Remote-Codeausführung gepatcht
CYBER NEWS

PayPal gepatchten ein Scary Remotecodeausführung Bug

paypal-bug-stfEs ist nie eine gute Nachricht, wenn Sicherheitslücken in weit verbreiteten Diensten wie PayPal gefunden werden. Ja, eine der neuesten, ziemlich beängstigend Fehler Remotecodeausführung wurde in der Tat in PayPal von einem unabhängigen Forscher im Dezember entdeckt 2015.

Andere PayPal-In Verbindung stehende News:
PayPal Schwachstellen Bietet Konto Hijacking
PayPal Phishing Schemes

Michael Stepankin hat berichtet, nur eine Schwachstelle, die bösartigen Akteure zu übernehmen Produktionssysteme ermöglichen könnte,. Die Sicherheitslücke ist leicht beschriftet kritisch, wie es wirkt sich manager.paypal.com. Glücklicherweise, es wurde bald gepatcht, nachdem es offenbart wurde.

Ein tiefer Blick in die Verwundbarkeit zeigt, dass beliebige Shell-Kommandos auf PayPal Web-Servern über Java-Objekt Deserialisierung und den Zugang zu Produktionsdatenbanken ausgeführt worden sein könnten.

Lerne mehr über Java Deserialisierung Vulnerabilities

Dies ist, was der Forscher gesagt hat, wie sie durch das Register berichtet:

Während Sicherheitstests von manager.paypal.com, wurde meine Aufmerksamkeit durch ungewöhnliche Post Formparameter „oldFormData“, das aussieht wie ein komplexes Objekt nach Base64-Decodierung angezogen. I Nach einigen Recherchen erkennen, dass es eine Java-Objekt ohne Unterschrift durch die Anwendung behandelt serialisiert [was] bedeutet, dass Sie serialisierte Objekt einer bestehenden Klasse zu einem Server und ‚readObject- schicken’ oder ‚readResolve’ Verfahren dieser Klasse wird aufgerufen.

Stepankin wurde belohnt $5000 für seine Erkenntnisse. Interessanterweise, Stepankins Fehlerbericht war eher ein Duplikat eines anderen Berichts, der zwei Tage zuvor von Mark Litchfield an PayPal gesendet wurde. In Anbetracht dieser Tatsache, es ist seltsam, dass PayPal ihn bezahlt. Bug Bounty-Programme ignorieren typischerweise doppelte Berichte.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau