Casa > Ciber Noticias > PayPal Patched a Scary Remote Code Execution Bug
CYBER NOTICIAS

PayPal Patched un Scary ejecución remota de código Bug

paypal-bug-STFNunca es una buena noticia cuando las vulnerabilidades se encuentran en los servicios ampliamente utilizados como PayPal. Sí, una de las últimas, bastante miedo defectos ejecución remota de código era de hecho descubiertos en PayPal por un investigador independiente en diciembre 2015.

Otros relacionados con PayPal Noticias:
PayPal vulnerabilidad permite el robo de cuentas
Esquemas PayPal phishing

Michael Stepankin acaba de informar de una vulnerabilidad que podría permitir a los actores maliciosos para hacerse cargo de los sistemas de producción. La vulnerabilidad es fácilmente etiquetada crítica, ya que afecta a manager.paypal.com. Por suerte, que fue parcheado poco después de que se dio a conocer.

Una mirada profunda en la vulnerabilidad muestra que los comandos shell arbitrarios podrían haber sido ejecutados en los servidores web de PayPal a través de Java objeto deserialización y el acceso a bases de datos de producción.

Aprender más acerca de Java Deserialización vulnerabilidades

Esto es lo que el investigador ha dicho, según lo informado por TheRegister:

Mientras que las pruebas de seguridad de manager.paypal.com, mi atención fue atraída por el parámetro forma inusual post “oldFormData” que se ve como un objeto complejo después de la decodificación base 64. Después de algunas investigaciones me di cuenta que se trata de un objeto serializado Java sin ninguna firma a cargo de la aplicación [cual] significa que puede enviar un objeto serializado de cualquier clase existente a un servidor y ‘readObject’ o ‘readResolve’ método de esa clase se llama.

Stepankin fue recompensado $5000 por sus hallazgos. Curiosamente, informe de error de Stepankin era más de un duplicado de otro informe enviado a PayPal dos días antes por Mark Litchfield. Teniendo en cuenta este hecho, que es raro que PayPal le pagó. programas de recompensas de errores por lo general hacen caso omiso informes duplicados.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...