Home / Vulnerabilities / Κρίσιμη ευπάθεια στη πλατφόρμα του Paypal

Κρίσιμη ευπάθεια στη πλατφόρμα του Paypal

paypal vulnerability 2

Μια σοβαρή ευπάθεια αναφέρθηκε στην ιδιοκτήτρια εταιρεία του Paypal την eBay, με την οποία κάποιος κακόβουλος χρήστης έχει τη δυνατότητα να εκτελέσει οποιοδήποτε κώδικα στον application server του Paypal.

Ο εντοπισμός της ευπάθειας έγινε από έναν ανεξάρτητο ερευνητή ασφαλείας τον Milan A. Solanki. Η ευπάθεια χαρακτηρίστηκε ως κρίσιμη από τη Vulnerability Lab με σκορ CVSS (Common Vulnerability Scoring System) 9,3 και επηρεάζει την υπηρεσία marketing του web-application server του Paypal.

Εντοπίζεται στο πρωτόκολλο Java Debug Wire Protocol (JDWP)  της marketing υπηρεσίας του web-application server του Paypal.

Μια επιτυχής εκμετάλλευση της ανωτέρω ευπάθειας του Paypal θα μπορούσε να επιτρέψει τη μη εξουσιοδοτημένη εκτέλεση κώδικα στον web-application server του paypal επιτυγχάνοντας την ολική παραβίαση του επίμαχου server!

Τι είναι το JDWP;

To JDWP είναι ένα πρωτόκολλο το οποίο χρησιμοποιείται για την επικοινωνία ανάμεσα στον debugger και στην εικονική μηχανή της Java, ως ένα επίπεδο της Java Platform Debugger Architecture (JPDA).

Σημαντικό στοιχείο είναι ότι το JDWP δεν χρησιμοποιεί καμία αυθεντικοποίηση, γεγονός το οποίο εκμεταλλεύονται οι κακόβουλοι χρήστες για την εκτέλεση απομακρυσμένου κώδικα στον προβληματικό server.

Ο Solanki δημιούργησε το παρακάτω βίντεο, προς απόδειξη των ισχυρισμών του:

Τέλος ο Solanki ανέφερε την ευπάθεια στην όμαδα των developer της Paypal.
Χρήσιμο
Ευανάγνωστο

User Rating: 4.4 ( 1 votes)

About Dimitris Tolmaidis

“ It takes so many years to build a reputation and few minutes of cyber-incident to ruin it. ”

Check Also

Σοβαρή ευπάθεια στα Juniper NetScreen firewall

Οι εταιρεία Juniper ανακοίνωσε ότι εντόπισε “μη εξουσιοδοτημένο κώδικα”  στο ScreenOS, το οποίο είναι το …

Leave a Reply

Your email address will not be published. Required fields are marked *