В системе Merchant Webmoney Transfer обнаружена XSS уязвимость

Сегодня редакции SecurityLab.ru стало известно о наличии XSS-уязвимости в системе Merchant Webmoney Transfer. Уязвимость позволяла произвести XSS нападение на странице оплаты за покупку из-за недостаточной фильтрации входных данных в параметре LMI_PAYMENT_DESC.

Предоставлений PoC-код выглядел следующим образом:

По словам исследователя Аксенова Дмитрия, он связался с технической поддержкой Webmoney и сообщил об обнаруженной уязвимости, за которую предполагалось вознаграждение.

В предоставленной копии переписки сотрудники Webmoney уведомили исследователя, что им уже известно об уязвимости, а также попросили разработать боевой эксплоит для перевода денег со счета жертвы на счет атакующего.

На момент написания новости эта уязвимость уже была исправлена. По словам исследователя, вознаграждение за найденную уязвимость он не получил.

securitylab.ru