Popcorn Time.io vatbaar voor XSS-aanval

Makers beloven hotfix en gaan meteen HTTPS afdwingen.

De populaire Popcorn Time-fork, cross-platform PopcornTime.io, blijkt behoorlijk kwetsbaar. Hierdoor zijn alle clients (Win/Mac/Linux) die op de code zijn gebaseerd vatbaar voor kwaadwillenden.

Beveiligingsdeskundige Antonios A. Chariton beschrijft op een blog hoe hij via een XSS-aanval een malafide script startte binnen de client. De ingediende invoer wordt niet gecontroleerd in de NodeJS-applicatie, waardoor een aanvaller ongewenste gegevens kan pushen.




TorrentFreak maakte voor het eerst gewag van de bevindingen van de ontwikkelaar, die naast de uitgebreide probleembeschrijving een issue heeft geopend op GitLab, waar de open source-code wordt onderhouden.



PopcornTime.io kondigt een hotfix aan om diverse issues te verhelpen en gaat daarnaast HTTPS afdwingen. Ook stellen de makers van de fork dat de soep niet zo heet gegeten wordt, omdat een aanvaller al binnen moet zijn bij je netwerk om de kwetsbaarheden te benutten.