erdyは、Mozillaのアカウント管理APIに脆弱性を発見しました。
この脆弱性により、攻撃者は二要素認証やAuthorisationなしでアカウントを削除できました。
エンドポイント/v1/admin>は2つのフィールドのみを必要とし、Authorisationヘッダーやセッショントークンは操作自体には不要でした。
このバグの損害額は1,000ドル(約1,500ドル)でした。
また、修正前は無効なセッションキーを持つ認証されていないPOSTリクエストを1回送信することで、悪意のあるメールへのアクセスを阻止していました。
アカウント削除の試行時にAuthorisationヘッダーは必要ありませんでした。
コメント