Les bidouilleurs de l’équipe française Pandora Security ont découverts il y a peu une vulnérabilité Cross Site Scripting (XSS) au sein du site officiel Chatango. Et en plus, elle est persistante !
Une belle capture d’écran démontre la découverte d’un certain Mikasa, membre de la team Pandora Security :
Vous l’aurez compris, la vulnérabilité se situe au sein des profils des membres. Un simple lien pointant vers l’un des nombreux profiles suffirait alors à propager un malware ou encore à tromper les visiteurs… Rappelons tout de même que Chatango est utilisé sous forme de widget sur de très nombreux sites Internet.
Soyez donc prudent avec tout ce qui tourne autour du tchat en ligne ces prochains jours.