プライベート プログラムでの権限の変更を許可しない UI 操作により、750 ドル (約 1,200 ドル) の報酬が得られました。
この欠陥はユーザー インターフェイスの操作に関連しており、恣意的な権限の変更を防ぐための独自の経路を提供します。
攻撃者はメンバーシップ要件を回避し、「UI」を通じて直接権限の変更を削除できます。
通常、登録時にはメンバーシップ権限が必要です。
ただし、組織はメンバーシップがなくてもメンバーシップを付与できます。
これにより、ユーザーのプライバシーが侵害される可能性があります。
コメント