Un pirate informatique vient de publier via un Pastebin un bout de code mettant en avant une vulnérabilité de type cross site scripting (XSS) sur la boutique en ligne de SFR Business Team.
Le pirate dénonce tout en restant anonyme, pas même un pseudonyme n’est donné. Il a diffusé la faille via un document Pastebin. Il explique qu’une personne mal intentionnée pourrait utiliser la vulnérabilité pour de mauvais desseins par exemple une redirection silencieuse vers un site de phishing…
Le site de SFR Business Team souffre d’une faille de type Cross Site Scripting – Iframe Injection à cause d’un mauvais filtrage des variables dans un formulaire présent dans la boutique en ligne.
Le groupe a été prévenu par UnderNews via son compte Twitter. Espérons une correction rapide.
EDIT : SFR Business Team vient d’avertir UnderNews via son compte Twitter que la faille a été corrigée. Vous pouvez dorénavant surfer tranquillement sur le site ! Merci à eux pour leur écoute et leur réactivité.
Il y aurait une trace de ce Pastebin, par hasard ?
Les commentaires sont fermés.