La casa de subastas en línea eBay resolvió dos vulnerabilidades en su sitio web de Estados Unidos. Una de las vulnerabilidades fue un agujero crítico de SQL injection en el área de venta del sitio, que dio a los atacantes acceso no autorizado de lectura y escritura en una de las bases de datos de la compañía. Los agujeros de SQL injection permiten a los atacantes inyectar comandos en la base de datos mediante la explotación inadecuada de parámetros filtrados de HTTP.

El agujero fue descubierto por el investigador de seguridad David Vieira-Kurz, quien confidencialmente reportó el problema de seguridad a eBay. El investigador dijo que la compañía respondió muy rápido y cerró el agujero después de 20 días. Hablando con los asociados de The H en Alemania, Heise Security, Vieira-Kurz dijo que no verificó si el agujero permitía a los posibles intrusos acceder a los datos de otros usuarios de eBay.

El otro agujero era una vulnerabilidad de tipo cross-site scripting que habilita a los atacantes para inyectar código de JavaScript en el servidor de eBay, para ejecutarse a través de una URL específica. La vulnerabilidad pudo haberse aprovechado para robar las credenciales de acceso de otros usuarios de eBay y fue documentado por primera vez una semana y media antes. El jueves pasado, la compañía dijo a The Register que el agujero fue solucionado.