Examfit の Insecure Direct Object Reference (IDOR) スキームのバグにより、ハッカーが「被害者」企業に代わって経費申請を承認または拒否することができました。
この脆弱性は Exam Fit の Expense Validation スキームで発見され、攻撃者が偽の経費承認リクエストを作成できるようになりました。
キャプチャされたリクエストを使用して、経費リクエストが承認され、リクエストが送信されました。
企業には 1,000 の報奨金が与えられました。
bug’er.nnnd.net セキュリティ チームは、「それだけの価値はある」とこの問題を修正したと述べています。
![[CORS] 簡単ピーシーレモンスクイーズ from infosecwriteups.com](https://miro.medium.com/v2/resize:fit:756/1*BxS6lbYy7OmCHm2bvnBRKw.png "[CORS] 簡単ピーシーレモンスクイーズ from infosecwriteups.com")
コメント