Une faille XSS sur le site officiel de BitDefender !

2
103

Un chercheur en sécurité informatique a découvert ce weekend qu’une vulnérabilité de type Cross Site Scripting touche le site officiel de l’éditeur de sécurité bien connu BitDefender.

EDIT : La faille XSS a été corrigée depuis quelques heures déjà. Il ne s’agissait pas du site officiel mais du site de la boutique officielle, qui est un partenaire de ventes en ligne.

D’autre part, aucune donnée n’a été compromise et aucun accès à la base clients n’était possible via l’exploitation de cette faille.

L’équipe de Cyberactus a vérifié et confirmé l’existence de la faille XSS, une vulnérabilité présente sur la boutique en ligne officielle de BitDefender. Pour rappel, ce genre de « bug » peut permettre des actions malveillantes à partir d’un lien particulièrement formé. Un pirate pourrait mettre en place un backdoor XSS; lancer l’installation d’un code malveillant ; intercepter le cookie de connexion, etc…

L’équipe de BitDefender a été prévenue via son compte Twitter hier. En attente de correction de leur part, prenez garde aux mails que vus pourriez recevoir de la part de l’antivirus car ils pourraient posséder des liens piégés.

2 Commentaires

  1. Le problème a été corrigé depuis 11h ce matin, il affectait un partenaire de ventes en ligne Bitdefender et non pas le site officiel. Par ailleurs aucune donnée n’a été compromise et aucun accès à la base clients de la boutique de ce partenaire n’était accessible via l’exploitation de cette faille.

  2. Correctif: le site officiel est fiable et n’est pas impacté – la faille concerne(rait) la boutique, gérée par un prestataire. Les vérifications sont en cours.

Les commentaires sont fermés.