Исследователь Никлас Фемерстранд заявил, что проблема возникла из-за debug-режима, в котором по непонятным причинам работал сайт americanexpress.com. Это предоставляло возможность доступа к уязвимым средствам отладки. Уязвимость в безопасности создала возможность сбора аутентификационных куки пользователей, говорит Фемерстранд.
Компания American Express сообщила, что проблема была найдена на тестовой странице, которую она заблокировала в четверг днем. В сообщении, адресованном Financial News Network, она подчеркнула, что клиентская информация не подвергалась риску.
Фемерстранд опубликовал свое "открытие" в среду – в сообщении с POC иллюстрацией уязвимости – после того, как он попытался сообщить о баге непосредственно гиганту, работающему с кредитными картами.
"Средство отладки уязвимо перед XSS", - сообщил он.
"Окно отладки обновляет само себя, так что внедренный код, который не разрывает цикл, будет выполняться бесконечно. Злоумышленник может внедрить cookie stealer в сочетании с jQuery .hide() и заполучить куки – которые, как ни странно, могут быть использованы при помощи админ-панели, предоставляемой неаккуратными разработчиками American Express".
Фемерстранд в четверг сообщил, что уязвимость все еще присутствовала на сайте спустя несколько часов после того, как он ее обнародовал.
.png)