PayPal corrige une vulnérabilité dans son convertisseur de devises
PayPal vient de corriger une vulnérabilité de taille dans le convertisseur de devises des portefeuilles de ses utilisateurs.
Bonne nouvelle pour les amateurs de cryptomonnaies. PayPal vient de résoudre une vulnérabilité de type XSS (cross-site scripting) qui se trouvait dans la fonction de conversion de devises des portefeuilles de ses utilisateurs. Révélée pour la première fois le 19 février 2020, la vulnérabilité est décrite comme un problème de « contournement de XSS et CSP réfléchi ». Le bug a été trouvé dans la fonction de conversion de devises des portefeuilles PayPal sur le domaine web de PayPal.
Dans une divulgation limitée, publiée le 10 février – près d’un an après que le chercheur à l’origine de la découverte de cette faille a signalé le problème en privé – PayPal a confirmé son existence dans le point final de conversion de devises, précisant qu’il était causé par un manque de nettoyage approprié des entrées de l’utilisateur.
Un paramètre URL faible n’a pas réussi à nettoyer les entrées, ce qui pourrait permettre à des cyberattaquants d’injecter du JavaScript, du HTML ou tout autre code malveillant « que le navigateur pourrait exécuter », selon l’avis. En conséquence, des charges utiles malveillantes pourraient se déclencher dans le Document Object Model (DOM) d’une page de navigateur d’une victime à son insu ou sans son consentement.
Une attaque XSS
En général, les attaques XSS réfléchies reflètent des scripts d’une source web vers un navigateur et peuvent n’exiger de la victime que de cliquer sur un lien malveillant pour se déclencher. Les charges utiles peuvent être utilisées pour voler des cookies, des jetons de session ou des informations de compte, ou pourraient être utilisées comme étape dans des attaques plus larges.
Suite à la révélation du bug par le chasseur de primes, PayPal a maintenant mis en place des contrôles de validation et des contrôles de désinfection supplémentaires pour contrôler les entrées de l’utilisateur dans la fonction de change et éliminer le bug. Un CVE n’a pas été attribué mais la vulnérabilité a été classée dans la catégorie des attaques de gravité moyenne. Le chercheur à l’origine de la découverte de la faille a reçu une récompense financière de 2 900 dollars.
L’année dernière, HackerOne a publié une liste des types de vulnérabilité les plus impactantes et les plus récompensées signalés sur la plateforme au cours de l’année 2020. Les attaques XSS, le contrôle d’accès inapproprié, la divulgation d’informations et les vulnérabilités de type SSRF (Server-Side Request Forgery) ont obtenu les premières places.
Pour plus d’information :https://www.zdnet.fr/actualites/cryptomonnaie-paypal-corrige-une-vulnerabilite-dans-son-convertisseur-de-devises-39917867.htm
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram