В понедельник, 15 декабря 2014 года, исследователь безопасности под ником Tactic4l обнаружил XSS-уязвимость на сайте «Сбербанка России», о чем сообщается на сайте XSSPosed.org. По данным эксперта, бреши подвержена страница поиска по сайту московского отделения финучреждения.

По данным XSSPosed, уязвимость до сих пор не исправлена. Киберпреступники могут ее проэксплуатировать и похитить персональные или платежные данные пользователей сайта. Также вероятна кража cookie-файлов, логинов и паролей, а также истории браузера.

Исследователь предоставил PoC-код для эксплуатации бреши. Он выглядит следующим образом:

http://www.sberbank.ru/moscow/ru/suggest_search_full/index.php?q114=ouch;%22/%3E%3Chr%3E%3Chr%3E%3Cscript%3Ealert(%22XSSPOSED%22)%3C/script%3E

На момент написания новости проверить, исправлена ли уязвимость, не удалось, поскольку на сайте проводились внеочередные технические работы.