Специалисты компании Vulnerability Lab раскрыли информацию об уязвимости в почтовой службе Yahoo, которую в октябре минувшего года обнаружил независимый эксперт Лоуренс Эмер.
Используя уязвимость, удаленный злоумышленник, не имеющий привилегий пользователя, мог изменить имя адресанта электронного письма в классическом веб-интерфейсе сервиса.
Уязвимость находилась в модуле «написать сообщение» почтового веб-приложения Yahoo. У злоумышленника была возможность замены имени адресанта путем использования метода POST. Любой пользователь, прошедший авторизацию, мог открыть в браузере инструменты разработчика и заменить в коде свой адрес на другой.
Специалисты Yahoo присвоили уязвимости средний уровень опасности. 29 февраля было выпущено исправление для данной уязвимости.