La explotación exitosa de la vulnerabilidad permitía ejecutar código
arbitrario y no autorizado para inyectar una Shell mediante el método
POST, solicitar la descarga de un path/archivo no autorizado y
comprometer la aplicación o los componentes del sitio.
Esa vulnerabilidad se encontraba en el portal de la API de
desarrolladores pero Kunz Mejr también encontró otras vulnerabilidades y
parámetros vulnerables. Los atacantes, con una cuenta de usuario
válida, podrían subir scripts y ejecutar código remotamente para acceder a las configuraciones y a los archivos de servidor web. Mejr publicó una PoC que mediante un POST a la API de Paypal, podía inyectar código.
La vulnerabilidad fue notificada el 23 de abril de 2013 y solucionada el
25 de octubre pasado (18 meses después) y Mejor fue recompensando a
través del programa de recompensas de eBay.
