IDOR问题意味着可以更改用户帐户特权和联系方式
间接对象参考(书架)Squiz Matrix Web内容管理系统(CMS)中的漏洞可能使攻beplay体育能用吗击者能够在目标安装上夺取管理权。
Squiz Matrix是基于浏览器的网站构建工具beplay体育能用吗据报道使用由280多个组织,包括政府,企业和澳大利亚和新西兰大学的一半,以及几个英国高等教育机构。
特权升级缺陷在Trustwave SpiderLabs的笔试参与期间发现,这意味着低特权用户可以更改任何用户的联系方式(包括管理员)。
通过将管理员的电子邮件更改为攻击者控制的地址,他们可以启动密码重置并控制其帐户。
而且,“由于用户帐号按顺序订单,攻击者可以通过用户帐号运行,并将注册到脆弱的Squiz矩阵实例的每个用户的详细信息更改”。博客文章披露缺陷。
截至2022年6月14日,Squiz Matrix修补了所有客户的脆弱性,恰好在Trustwave在8月31日披露了该问题的详细信息之前。
概念证明
为了利用该错误,攻击者将以通用级别的用户身份验证应用程序,导航到“编辑联系人”页面,并在使用Web拦截代理捕获请求之前提交联系人编辑表格。beplay体育能用吗
结果请求将包含得到和邮政名为'的参数asset_id’都包含目标用户的用户身份。
更改后asset_id参数值为有效用户身份,然后攻击者可以更改用户详细信息邮政主体,例如更改电子邮件参数和升级用户类型至sp_admin。