Examfit の Insecure Direct Object Reference (IDOR) スキームのバグにより、ハッカーが「被害者」企業に代わって経費申請を承認または拒否することができました。
この脆弱性は Exam Fit の Expense Validation スキームで発見され、攻撃者が偽の経費承認リクエストを作成できるようになりました。
キャプチャされたリクエストを使用して、経費リクエストが承認され、リクエストが送信されました。
企業には 1,000 の報奨金が与えられました。
bug’er.nnnd.net セキュリティ チームは、「それだけの価値はある」とこの問題を修正したと述べています。
コメント