Dailymotion est une entreprise française offrant un service d’hébergement, de partage et de visionnage de vidéo en ligne. Dailymotion est le 41e site le plus fréquenté au monde avec 65 millions de visiteurs uniques dans le monde et 9,5 millions en France. Il est aujourd’hui victime d’une faille de sécurité.
La vulnérabilité a été découverte par AKABEY. Il n’y a pas plus d’informations sur lui. Hier, le 3 décembre, le chercheur a soumis la vulnérabilité au site XSSED.com qui l’a aussitôt rendue public.
Il s’agit d’une faille de type XSS (Cross Site Scripting) non persistante sur un espace permettant de ré-initialiser son mot de passe sur le portail vidéo :
PoC
http://www.dailymotion.com/password/reset?user=<script>alert(‘XSSED’)</script>
Au moment où cet article est écrit, la faille n’est toujours pas corrigée, nous invitons par conséquent les utilisateurs à être prudents.