🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Slack pagó una miserable recompensa de $1750 por esta grave vulnerabilidad

Un investigador reveló de manera responsable múltiples vulnerabilidades a Slack que permitieron a un atacante secuestrar la computadora de un usuario. El investigador solo recibió una recompensa miserable de $1,750.

Con estas vulnerabilidades, un atacante podría simplemente subir un archivo y compartirlo con otro usuario o canal de Slack. Con esta pequeña acción activaba el exploit en la aplicación Slack de la víctima.

En su informe detallado compartido en privado con Slack en enero de 2020, el ingeniero de seguridad Oskars Vegeris de Evolution Gaming compartió amplios detalles sobre la vulnerabilidad.

“Con cualquier redireccionamiento en la aplicación: redireccionamiento lógico/abierto, inyección de HTML o javascript, era posible ejecutar código dentro de las aplicaciones de escritorio de Slack.

Este informe demuestra un exploit. El exploit diseñado específicamente para la vulnerabilidad consiste en una inyección de HTML, una evasión de control de seguridad y un payload de RCE Javascript. Este exploit funcionaba en las últimas versiones de Slack para escritorio (4.2, 4.3.2) (Mac/Windows/Linux) “, dijo Vegeris.

Vídeo:

Este contenido se encuentra parcialmente protegido

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información