W platformie BLUVOYIX firmy Blusparkglobal wykryto krytyczną podatność polegającą na nieprawidłowej implementacji uwierzytelnienia w backendowych API. Nieuwierzytelniony zdalny atakujący może uzyskać pełny dostęp do danych klientów i całkowicie przejąć kontrolę nad platformą.
▸ Pokaż oryginał (EN)
The vulnerability exists in BLUVOYIX due to improper authentication in the BLUVOYIX backend APIs. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable APIs. Successful exploitation of this vulnerability could allow the attacker to gain full access to customers' data and completely compromise the targeted platform.
Podatność wynika z nieprawidłowego mechanizmu uwierzytelnienia (CWE-287) w backendowych API systemu BLUVOYIX. Atakujący może ją wykorzystać, wysyłając specjalnie spreparowane żądania HTTP bezpośrednio do podatnych endpointów API. Ponieważ mechanizm uwierzytelnienia jest wadliwy, żądania takie są akceptowane i przetwarzane bez weryfikacji tożsamości nadawcy. Atak nie wymaga posiadania żadnych poświadczeń ani interakcji ze strony użytkownika.
Atakujący może uzyskać pełny dostęp do danych wszystkich klientów przechowywanych w platformie oraz całkowicie skompromitować docelowy system, w tym jego zasoby i integralność.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu do backendowych API BLUVOYIX na poziomie firewall wyłącznie do zaufanych źródeł oraz monitorowanie logów pod kątem nieautoryzowanych żądań do API.
Platforma Blusparkglobal BLUVOYIX — wersje wskazane w referencjach producenta.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:M/U:RedBlusparkglobal Bluvoyix
APPBlusparkglobalwszystkie wersje
Powiązane podatności
Ujawnienie wewnętrznej dokumentacji API w Blusparkglobal BLUVOYIX
Brak uwierzytelnienia w admin API Blusparkglobal BLUVOYIX — pełne przejęcie platformy
Blusparkglobal Bluvoyix — niekontrolowane wysyłanie e-maili przez API
BLUVOYIX: ujawnienie haseł w postaci jawnej przez nieuwierzytelnione API