Le réseau social CircleMe, basé sur les centres d’intérêts de ses utilisateurs vient aujourd’hui de devenir accessible au public. Et déjà, une alerte à la faille XSS se fait entendre sur la Toile ! Une faille sérieuse car elle est de type permanente.
EDIT : l’équipe de CircleMe a confirmé que la faille a été corrigée ce weekend.
C’est un internaute sous le pseudo de Sh4dows qui donne l’alerte de sa découverte. Une belle XSS permanente sur le réseau social, exploitable de partout.
Une vidéo du PoC a été réalisée et publiée sur YouTube :
[youtube QeiTjTk2JPU nolink]
Un PoC est aussi visible en ligne à cette URL. Le pirate explique qu’il n’a utilisé qu’une simple fonction d’affichage (un alert JavaScript) mais qu’il y a possibilité de faire bien plus à l’insu des utilisateurs du réseau.
Le réseau social n’a pas encore réagit. Espérons que la faille sera fixée d’ici peu, ça la fout mal pour un lancement…
Salut l’artiste.
Now at 19h30 patched 😉
Les commentaires sont fermés.