XSS en eBay permitía robar cuentas de usuarios

eBay soluciona una vulnerabilidad del tipo XSS presente en uno de sus subdominio, esta vulnerabilidad permitía a un atacante robar cookies de sesiones y por lo tanto tomar control de la cuenta de usuario. Esta vulnerabilidad fue reportada por el investigador de seguridad Adita Sood, quien dijo que para dar solución a esta vulnerabilidad, eBay […]

eBay soluciona una vulnerabilidad del tipo XSS presente en uno de sus subdominio, esta vulnerabilidad permitía a un atacante robar cookies de sesiones y por lo tanto tomar control de la cuenta de usuario.

Esta vulnerabilidad fue reportada por el investigador de seguridad Adita Sood, quien dijo que para dar solución a esta vulnerabilidad, eBay directamente eliminó la página vulnerable a Cross Site Scripting y por lo tanto quito la vulnerabilidad.

Esta vulnerabilidad fue descubierta en en el subdominio svcs.ebay.com y para explotarla un atacante podía enviar a través de un email una URL especialmente preparada con un script o payload, que permitiría tomar control de la cuenta si la víctima tenía una sesión abierta en la página de eBay.

Esta no es primera vez que Adita Sood descubre vulnerabilidades en eBay,  en Junio de este año habría reportado una vulnerabilidad en un Uploader de imágenes que no filtraba el contenido del archivo, permitiendo subir cualquier tipo de archivo.