Podatność w produkcie BLUVOYIX firmy Blusparkglobal polega na braku właściwego uwierzytelnienia w interfejsach API administratora, co umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie pełnej kontroli nad platformą. Ze względu na brak jakiejkolwiek weryfikacji tożsamości oraz możliwość uzyskania uprawnień administratora, podatność otrzymała maksymalną ocenę CVSS 10.0.
▸ Pokaż oryginał (EN)
The vulnerability exists in BLUVOYIX due to improper authentication in the BLUVOYIX admin APIs. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable admin API to create a new user with admin privileges. Successful exploitation of this vulnerability could allow the attacker to gain full access to customers' data and completely compromise the targeted platform by logging in to the newly-created admin user.
Atakujący wysyła specjalnie spreparowane żądania HTTP do podatnych endpointów admin API bez konieczności posiadania jakichkolwiek danych uwierzytelniających. W wyniku tego możliwe jest utworzenie nowego użytkownika z uprawnieniami administratora. Po utworzeniu takiego konta atakujący loguje się na nie i uzyskuje pełny dostęp do platformy oraz danych klientów. Podatność wynika z braku mechanizmu uwierzytelnienia (CWE-306) oraz nieprawidłowego zarządzania uprawnieniami (CWE-269) w obrębie admin API.
Atakujący może uzyskać pełny dostęp do danych wszystkich klientów oraz całkowicie przejąć kontrolę nad platformą BLUVOYIX, w tym zarządzać jej konfiguracją i użytkownikami z poziomem uprawnień administratora.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się zablokowanie dostępu do endpointów admin API na poziomie firewall lub sieci, tak aby były dostępne wyłącznie z zaufanych adresów IP.
Produkt BLUVOYIX firmy Blusparkglobal — wersje wskazane w referencjach producenta
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:H/U:RedBlusparkglobal Bluvoyix
APPBlusparkglobalwszystkie wersje
Powiązane podatności
Pominięcie uwierzytelnienia w Blusparkglobal BLUVOYIX (Auth Bypass)
Ujawnienie wewnętrznej dokumentacji API w Blusparkglobal BLUVOYIX
Blusparkglobal Bluvoyix — niekontrolowane wysyłanie e-maili przez API
BLUVOYIX: ujawnienie haseł w postaci jawnej przez nieuwierzytelnione API