未受保护的API可以暴露使用应用程序进行的名称,地点,预订时间
一个访问控制一位安全研究人员透露,开源调度平台的脆弱性简易!任命使未经身份验证的攻击者轻松访问个人身份信息(PII)。
现在修补了关键缺陷(CVE-2022-0482)源于用于填充用户日历的后端API中缺乏身份验证。
该错误是由Francesco Carlucci,创始人OpenCirt,当前处于Beta模式的漏洞通知平台。
卡鲁奇发现了这一点ajax_get_calendar_events()仅通过三个参数 -开始日期,,,,结束日期, 和csrftoken- 试图从他的请求中删除所有cookie的那个回复返回了403响应。
然后,他发现恶意黑客可以抓住CSRF令牌通过简单地访问公共预订表格,在查询未受保护的API并下载与约会有关的数据之前。
卡鲁奇(Carlucci)在技术文章,CVSS得分为9.1。
攻击方案
卡鲁奇说,有多种攻击情况。他告诉他说:“首先,攻击者可以访问用户在预订过程中提供的一整套个人信息。”每日swbeplay2018官网ig。
“这包括电话号码,物理地址,城市...所有可用于身份盗用的多汁信息和其他网站上的'密码恢复攻击'。beplay体育能用吗
“当然,攻击者知道用户正在遇到谁以及原因,这可能是基于预订目的的个人。”
他继续说:“最后但并非最不重要的一点是,HTTP响应包括预订的'参考'(哈希),攻击者可以用来代表用户取消预订(在其他端点上:index.php/timpments/index/{hash})。攻击者可以自动化这一点以通过预订并消灭整个预订数据库。”
简单的约会也可以作为WordPress插件获得,已下载超过100,000次。
任命管理系统基于Codeigniter,Carlucci说,这比Laravel等替代PHP框架更风险,因为开发人员必须编码自己的身份验证和其他基本功能。
卡鲁奇说,“网络上仍未拨打数千个实例”,尽管尚无主动剥削的证据,但这种情况可能会“很快任何时候”。beplay体育能用吗
更新和错误检测
卡鲁奇提交了漏洞报告开源Bug Bounty Platform Huntr和简易任命的主要开发商Alex Tselegidis于1月30日。
Tselegidis在3月8日发布的“简单约会1.4.3”中修补了该问题。所有以前的版本都受到影响。
Tselegidis提供了补丁实用脚本这为否则无法更新的用户自动化了更新过程。
卡鲁奇(Carlucci)称赞开发商“真正的响应迅速和合作”,也“进行了完整的安全审查”,解决了其他一些次要安全问题。
卡鲁奇(Carlucci核模板为了帮助安全研究人员检测到漏洞,并警告“一些使用该软件预订Covid-19疫苗的大型非政府组织”。
