Уязвимость в веб-приложении PayPal, позволяющая внедрять вредоносный код в отправленные платежной системой электронные письма, была обнаружена основателем Vulnerability Lab Бенджамином Кунц Межри.
После того, как в PayPal был создан аккаунт, его можно привязать к нескольким адресам электронной почты. Чтобы проверить их подлинность, система отправляет на каждый адрес код верификации. С помощью уязвимости, выявленной исследователем, злоумышленник может создавать аккаунты, привязывать их к адресам жертв и добавлять произвольный HTML-код в строку с указанием имени владельца учетной записи.
Таким образом, жертва получит письмо PayPal, содержащее вредоносный код, который выполняется после того, как пользователь откроет сообщение. Жертва ни о чем не подозревает, так как письмо, отправленное с легитимного адреса service@paypal.com, не помечается системой безопасности как спам или вредоносное сообщение.
Данный метод атаки может быть применен в фишинговых кампаниях, а также для того, чтобы перехватывать сеансы или перенаправлять пользователей на домены, находящиеся под контролем злоумышленников. Исследователь проинформировал PayPal об уязвимости в октябре минувшего года. Исправление было выпущено компанией в марте этого года. За обнаружение уязвимости PayPal выплатила Бенджамину Кунц Межри 1000 долларов.