アプリケーションの「ユーザーの招待」機能に脆弱性が発見されました。
この脆弱性は、ユーザーを悪意のある Web サイトにリダイレクトすることで大規模なフィッシング キャンペーンを実行するために悪用される可能性があります。
アプリケーションは、電子メール アドレス、ユーザー名、パスワードを使用して新しいユーザーを招待します。
これにより、管理者または既存のユーザーからの許可なしで悪意のある Web サイトにアクセスできるようになりました。
リクエストが HTML インジェクション ペイロードとともに送信されました。
そこには被害者の名前、メールアドレスなどの詳細が含まれており、後に Burp Suite を通じて変更されました。
コメント