A falha designa-se por Cross-site scripting refletido, e acontecia porque o input do utilizador não era filtrado corretamente no parâmetro do URL. Ou seja, qualquer pessoa que injetasse código malicioso no browser, esse código seria executado no DOM da página de qualquer utilizador sem o seu conhecimento ou consentimento.

Desta forma, a plataforma adicionou verificações ao input do utilizador e controlos de sanitização na funcionalidade de conversão de moeda, antes da mesma ser retornada na resposta.

Num cenário real de ataque, os atacantes podiam convencer as vítimas a clicar num link especialmente criado, e a partir do momento que o script fosse executado, os atacantes poderiam aceder aos cookies e tokens de sessão da vítima e, consequentemente, roubá-los.

Takeaways:

- Nunca confiar no utilizador final

- Filtrar todos os possíveis campos de input externo

Mais informações: https://www.zdnet.com/article/paypal-fixes-reflected-xss-vulnerability-in-business-wallet/