На сайте рейтингового агентства Fitch обнаружена XSS-уязвимость
По состоянию на 12 января нынешнего года брешь не была исправлена. 11 января текущего года исследователь безопасности под ником E1337 обнаружил XSS-уязвимость на сайте рейтингового агентства Fitch, о чем сообщается на сайте XSSPosed.org. По данным специалиста, бреши подвержена одна из страниц ресурса, связанная с модулем Market Focus. До этого на web-сайте рейтингового агентства ни разу не обнаруживались подобные уязвимости.

На момент написания статьи брешь не была исправлена. Это означает, что злоумышленник может проэксплуатировать уязвимость и осуществить XSS-атаку на пользователей ресурса, в результате чего киберпреступники смогут похитить персональные или платежные данные пользователей портала. Также вероятна кража cookie-файлов с целью выдачи себя за легитимного пользователя, логинов и паролей жертв и истории их браузеров.

PoC-код для эксплуатации бреши выглядит следующим образом:

https://www.fitchratings.com/jsp/marketfocus/marketFocusLauncher.faces?marketFocusArea=qqqq’+alert(/xssposed/)+

Интересно, что уязвимость была обнаружена вскоре после того, как агентство снизило кредитный рейтинг Российской Федерации с «ВВВ» (достаточный уровень кредитоспособности) на «ВВВ-» (достаточный уровень кредитоспособности с тенденцией к снижению). Причиной для снижения рейтинга стал обвал рубля, вызванный сильнейшим понижением цены на нефть и санкциями стран Запада, а также резкое повышение ключевой ставки Центробанка РФ до 17%.