Thứ ba, 28 Tháng 4 2015 08:36

[Video] PayPal Remote Code Execution Vulnerability Demonstrated by Hacker

Được viết bởi 
Đánh giá bài viết
(5 Đánh giá)

A critical remote code execution vulnerability has been reported in the eBay owned global e-commerce business PayPal that could be exploited by an attacker to execute arbitrary code on the PayPal's Marketing online-service web-application server.

The remote code execution flaw, discovered by an independent security researcher, Milan A Solanki, has been rated Critical by Vulnerability Lab with a CVSS count of 9.3 and affected the marketing online service web-application of PayPal.

paypal hacking tool

The vulnerability resides in the Java Debug Wire Protocol (JDWP) protocol of the PayPal's marketing online service web-server.

Successful exploitation of the PayPal vulnerability could result in an unauthorized execution of system specific codes against the targeted system in order to completely compromise the company's web server, without any privilege or user interaction.

JDWP is a protocol that used for communication between a debugger and the Java virtual machine that it debugs. It is one layer of the Java Platform Debugger Architecture (JPDA).

However, JDWP does not use any authentication, but could be abused by hackers to execute arbitrary code remotely onto the affected Web server.

Solanki also provided a proof-of-concept video to demonstrate the hack in action. He used the jdwp-shellifier tool from Github to scan the marketing sites and found opened port 8000.



The opened port 8000 made him establish a connection to the service without any authentication that allowed him to execute his server-side codes with root privileges. This is nothing but a successful exploitation of the remote code execution flaw.

Solanki reported the vulnerability to the Paypal developer team, and without any long delay, the team fixed the flaw within four days after receiving the details from security researcher.

Đọc 21894 lần

Xin vui lòng để lại nhận xét

Vui lòng điền đầy đủ các mục (*) bắt buộc. Comment không hỗ trợ HTML.

About us

Website được thành lập với mong muốn đưa kiến thức an ninh thông tin, những tin tức cảnh báo và hỗ trợ ứng cứu sự cố về mất an ninh, an toàn thông tin.

Sau hơn 4 năm học hỏi và phát triển chúng tôi luôn tự hào với đội ngũ chuyên gia hàng đầu về an ninh thông tin.

Chúng tôi hoạt động với tinh thần và phương châm kiên định:

"Vì một thế giới mạng an toàn hơn".

Last posts

Newsletter

Nhận cảnh báo, tin tức cập nhật mới nhất về tình hình an ninh mạng, lỗ hổng, công nghệ mới...