PayPal a pris plus d'un an pour corriger une faille critique
permettant d'exécuter du code à distance sur son service
Le service de paiement en ligne PayPal a colmaté une faille permettant d’exécuter du code à distance dans son service plus d'un an après qu’elle ait été signalée lors de son Bug Bounty Program. Le 05 novembre, Vulnerability Lab l’a rendue publique par l’entremise de Benjamin Kunz Mejri, l’un de ses chercheurs, en classant cette faille qui se situait au cœur de l’application de profil Paypal comme étant critique.
« Une vulnérabilité système permettant l’exécution d’un code à distance a été trouvé dans l’application web officielle de Paypal ainsi que dans son API » a-t-il écrit dans la section réservée aux détails techniques et à la description. « La vulnérabilité système spécifique d'exécution du code arbitraire se trouve dans le portail de l'API de développeur avec connexion et l'accès au compte sur le portail API Paypal ».
Voici comment a été décrite l’attaque : « tout d’abord, l’attaquant enregistre un compte d'utilisateur et joint aux valeurs de `cardholder confidential` ainsi que ‘accountSelName’ un script persistant malveillant ou des fichiers d’un serveur web local. Pour les besoins de l'attaque, les données du centre d'aide du profil malveillant nécessitent une deuxième inscription sur le portail développeur de l'API avec les mêmes informations d'identification (connecté). Les valeurs ‘accountSelName et `cardholder confidential` n’ont pas de limites sur les entrées ».
Kunz Mejr a également trouvé une dérivation de filtre et un bug persistant lors de son test de pénétration dans le même emplacement de paramètre vulnérable. Selon lui, il aurait suffi que les attaquants soient en possession d’un compte utilisateur pour charger un script leur permettant d’exécuter un code arbitraire à distance afin d’accéder aux fichiers et configurations du serveur web local. L'exploitation de cette vulnérabilité requiert seulement un compte Paypal avec de peu de privilèges ainsi qu’un accès restreint. L'interaction de l'utilisateur n’est pas nécessaire.
« Le vecteur d'attaque est du côté de l’application du service Paypal et la méthode de demande d'injection est POST (sur les modules dev API et Help Center) » a-t-il avancé. Paypal a été informé de cette faille le 26 avril 2013 et a corrigé cette faille le 12 octobre dernier. Il s’agit là de la seconde vulnérabilité divulguée par Vulnerability Lab sur Paypal
Source : Vulnerabilty Lab
Partager