Huis > Cyber ​​Nieuws > PayPal heeft een enge bug bij het uitvoeren van externe code gepatcht
CYBER NEWS

PayPal Patched een Enge externe code worden uitgevoerd Bug

door   |  Last Update:  |  0 Reacties  

paypal-bug-STFHet is nooit goed nieuws toen kwetsbaarheden worden gevonden in veelgebruikte diensten zoals PayPal. Ja, een van de nieuwste, heel eng uitvoering van externe code gebreken was inderdaad in PayPal ontdekt door een onafhankelijke onderzoeker in december 2015.

Ander PayPal-gerelateerd nieuws:
PayPal Kwetsbaarheid Hiermee Account Hijacking
PayPal Phishing-schema's

Michael Stepankin heeft zojuist een kwetsbaarheid gemeld die kwaadwillende actoren in staat zou kunnen stellen productiesystemen over te nemen. Het beveiligingslek kan gemakkelijk als kritiek worden bestempeld omdat het invloed heeft op manager.paypal.com. Gelukkig, het werd gepatcht kort nadat het werd onthuld.

Een diepgaand onderzoek naar de kwetsbaarheid toont aan dat willekeurige shell-commando's kunnen zijn uitgevoerd op PayPal-webservers via deserialisatie van Java-objecten en het verkrijgen van toegang tot productiedatabases.

Leer meer over Java-deserialisatie-kwetsbaarheden

Dit is wat de onderzoeker heeft gezegd:, zoals gerapporteerd door TheRegister:

Tijdens het testen van de beveiliging van manager.paypal.com, mijn aandacht werd getrokken door de ongebruikelijke postform-parameter "oldFormData" die eruitziet als een complex object na base64-decodering. Na wat onderzoek realiseerde ik me dat het een Java-geserialiseerd object is zonder enige handtekening die door de applicatie wordt afgehandeld [die] betekent dat u een geserialiseerd object van elke bestaande klasse naar een server kunt sturen en 'readObject'’ of 'leesOplossen'’ methode van die klasse wordt genoemd.

Stepankin werd beloond $5000 voor zijn bevindingen. Interessant genoeg, Het bugrapport van Stepankin was meer een duplicaat van een ander rapport dat Mark Litchfield twee dagen eerder naar PayPal had gestuurd. Gezien dat feit, het is raar dat PayPal hem heeft betaald. Bug bounty-programma's negeren doorgaans dubbele rapporten.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. PayPal Phishing – Hoe ze te vermijden (actualisering van november 2019) KANTTEKENING: Dit bericht is oorspronkelijk gepubliceerd in februari 2018. Maar...
  2. Eerder Herstelde Facebook externe code worden uitgevoerd Bug Geacht Exploiteerbare Een security-onderzoeker, Andrew Leonov, is bekroond $40,000 Aan...
  3. Foto's Duplicate Cleaner - WAT IS HET + Verwijder het uit Mac Wat is Foto Duplicate Cleaner? Hoe foto's dupliceren te verwijderen ...
  4. CVE-2017-7521, OpenVPN externe code worden uitgevoerd Bug Patched Bent u een gebruiker van OpenVPN? The software patched four...
  5. Duplicate Foto's Fixer Pro - WAT IS HET + Verwijder Het Wat is de dubbele foto's Fixer Pro? Is Duplicate Photos Fixer...
  6. Fake PayPal Pages Een deel van de financiële phishing Toename Malware-onderzoekers blijven valse webpagina's van de ...
  7. .Java-bestanden Virus (Dharma Ransomware) – Verwijder en bestanden herstellen Dit artikel is bedoeld om u te helpen bij het verwijderen van de nieuw ontdekte ...
  8. CVE-2018-16.858: Uitvoering van externe code Bug in LibreOffice Security researchers discovered a security flaw in LibreOffice and Apache...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens