اصلاح آسيب پذيري جدي XSS توسط LinkedIn

اصلاح آسيب پذيري جدي XSS توسط LinkedIn

تاریخ ایجاد

شماره: IRCNE2015112694
تاريخ: 08/30/94

يك آسيب پذيري اسكريپت بين سايتي كه شبكه LinkedIn را تحت تاثير قرار داده است چند ساعت پس از گزارش اصلاح شد.
محقق امنيتي شركت هندي، Rohit Dua يك آسيب پذيري را در وب سايت شناسايي كرده و آن را به طور كامل افشاء كردند.
اين آسيب پذيري در پرتال كمك رسان LinkedIn قرار دارد. براي سوء استفاده از اين مشكل، كاربر بايد با حساب كاربري خود لاگين كند، به مركز كمك رسان LinkedIn بروند و در آن جا شروع به بحث و گفتگو كنند. در تب "گرفتن جزئيات بيشتر" كه هنگام پرسيدن سوال باز مي شود، مهاجم مي تواند كدي را وارد نمايد. هنگامي كه سوال به صورت خودكار در فروم ثبت مي شود كد وارد شده به صورت بالقوه اجرا مي شود.
اگر مهاجم موفق به سوء استفاده از اين آسيب پذيري شود، كرم هاي XSS مي توانند به راحتي از طريق فروم هاي كمك رسان گسترش يابند و كدهاي مخرب مي تواند اجرا شوند.
LinkedIn اين مشكل را به سرعت اصلاح كرد. سخنگوي LinkedIn اظهار داشت داده هاي كاربران در معرض خطر قرار ندارد.

برچسب‌ها