De zakelijke netwerksite LinkedIn heeft een cross site scripting (XSS)-kwetsbaarheid in de website verholpen. Beveiligingsdeskundige Rohit Dua uit India plaatste woensdag een melding over het lek op Full Disclosure. Het Help-forum van LinkedIn bleek niet goed beveiligd te zijn, de profielenpagina’s van LinkedIn waren niet kwetsbaar.
Om het lek te misbruiken moest een gebruiker ingelogd zijn. Bij het starten van een discussie op de Help-pagina’s, was het voor een kwaadwillende mogelijk om code in de formuliervelden in te voeren. De code die vervolgens werd uitgevoerd, was ook toegankelijk voor niet-ingelogde bezoekers.
LinkedIn heeft de kwetsbaarheid - met hulp van Dua - binnen drie uur verholpen, schrijft Threatpost. Volgens een woordvoerder van LinkedIn zijn privégegevens van gebruikers op geen enkel moment in gevaar geweest en is er geen misbruik van de kwetsbaarheid gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.