Sécurité informatique · 3 min read · Nov 23, 2025

Un chercheur en sécurité découvre une vulnérabilité critique d'injection persistante dans l'App Store et iTunes d'Apple

Un chercheur en sécurité du Vulnerability Lab a découvert un défaut critique dans le système de facturation de l’App Store et d’iTunes d’Apple, qui pourrait entraîner un détournement de session et une manipulation malveillante des factures, mettant ainsi des millions d’utilisateurs d’Apple en danger.

Le chercheur en sécurité Benjamin Kunz Mejri du Vulnerability Lab a révélé le défaut d’injection persistante sur son site web et a déclaré que la vulnérabilité permet aux attaquants distants d’injecter des codes de script malveillants dans les fonctions de contenu et les modules de service défectueux. La vulnérabilité a été jugée critique et a reçu une note de gravité CVSS de 5,8. Il s’agit essentiellement d’une vulnérabilité de validation des entrées côté application qui réside en fait dans le module de facturation de l’App Store d’Apple et qui est exploitable à distance tant par l’expéditeur que par le destinataire.

Selon Mejri, un attaquant peut exploiter le défaut en manipulant une valeur de nom (nom de cellule de l’appareil) dans le module de facturation par un échange de code malveillant spécialement scripté. Si un produit est acheté dans les magasins d’Apple, le backend prend la valeur de l’appareil et l’encode avec des conditions manipulées afin de générer une facture avant de l’envoyer au vendeur. Cela entraîne une exécution de code de script côté application dans la facture d’Apple.

Mejri a déclaré que les hackers distants peuvent manipuler la vulnérabilité à travers un contexte manipulé persistant vers d’autres comptes d’utilisateurs de l’App Store d’Apple, qu’ils soient expéditeurs ou destinataires. Mejri déclare sur son blog :

“La facture est présente pour les deux parties (acheteur et vendeur), ce qui démontre un risque significatif pour les acheteurs, les vendeurs ou les gestionnaires/développeurs du site web d’Apple. L’impact du problème affecte également le risque qu’un acheteur puisse être le vendeur en utilisant le même nom pour compromettre l’intégrité du service en ligne du magasin.”

L’exploitation peut être utilisée pour détourner des sessions utilisateur, lancer des attaques de phishing persistantes, créer des redirections persistantes vers des sources externes et manipuler des modules de service affectés ou connectés.

Preuve de Concept :

(Your Invoice by Apple)
App Store TYP GEKAUFT BEI PREIS DuckTales: Remastered DuckTales: Remastered
Disney
Écrire un avis | Signaler un problème App[VULNÉRABILITÉ DE CODE SCRIPT INJECTÉ PERSISTANT!]bkm337">%20
Share: X/Twitter LinkedIn
#Sécurité informatique

Recevez de nouveaux articles dans votre boîte de réception.

Aucun spam. Désabonnez-vous à tout moment.