さらに調査したところ、チャットボットにはサポート ポータルの IDOR (Insecure Direct Objection Reference) の脆弱性があることがわかりました。
API は廃止されましたが、最近 Burp Suite リポジトリから削除されました。
報告を受けると、チームは見落としを認め、直ちに措置を講じました。
特に注目すべき点は、認証トークンがなくてもユーザー データが公開されることはありませんでした。
これにより、エンドポイントがチャット ボットによる認証されていないアクセスに対して脆弱であることが明らかになりました。
コメント