Modificación de precios de productos en Yahoo! Store
Se ha descubierto una vulnerabilidad en el carro de la compra de Yahoo! Store por el que un usuario remoto podía modificar el precio de los productos.
Durante la transacción de la compra, un usuario remoto podía enviar un HTML modificado a Yahoo! Store con una opción no válida del producto o con una opción válida, pero con un precio modificado. El sistema de comercio aceptará la orden usando el precio de la opción, que puede ser un valor positivo o negativo. Si el proveedor de dicho producto no revisa la petición antes de darla por buena, el producto se venderá con un precio incorrecto.
Las listas de selección de opciones se definieron para crear opciones diferenciadas de compra, como accesorios adicionales, tamaños diferentes, garantías adicionales, y envío por correo urgente por ejemplo.
Yahoo, fue puesto al corriente de esta vulnerabilidad el pasado 15 de agosto aplicando la corrección el 8 de septiembre de 2004, y notificándolo a los proveedores afectados ese mismo día, el aviso a la comunidad fue realizado el pasado día 23 de septiembre.