Une vulnérabilité de falsification de requête intersite (CSRF) dans Reddit a forcé les utilisateurs à afficher du contenu pour adultes.
Le bogue de sécurité de gravité moyenne a désactivé l’option d’activation de certains paramètres, ce qui signifie que tout utilisateur qui a choisi de restreindre le contenu pour adultes pourrait à la place être dirigé vers celui-ci par des pirates malveillants.
Un rapport de bogue se lit comme suit : « Une demande POST de changement d’état à https://old.reddit.com/over18 ? manquait de validateur de modhash approprié, laissant l’action sensible vulnérable aux attaques CSRF. Un attaquant peut inciter les utilisateurs à exécuter l’action, en activant/désactivant « J’ai plus de dix-huit ans » et en voulant afficher les préférences de contenu pour adultes dans le compte de la victime. »
Les étapes de reproduction commencent par la création d’un compte Reddit par une victime, la navigation sur https://old.reddit.com/prefs/ et la désactivation de l’option déclarant que l’utilisateur a plus de 18 ans et souhaite afficher le contenu pour adultes.
Ensuite, l’utilisateur visite le sous-reddit « non sûr pour le travail » (NSFW) https://www.reddit.com/r/
S’ils ouvrent ensuite un fichier HTML spécialement conçu de contenu malveillant, leurs paramètres seront mis à jour et ils pourront, sans le savoir, afficher le contenu NSFW.
Le problème a été corrigé et le chercheur en sécurité a reçu une prime de bogue de 500 $ pour l’avoir signalé.
Plus de détails techniques peuvent être trouvés dans la rédaction de HackerOne.