W produkcie Bluvoyix firmy Blusparkglobal wykryto podatność w API odpowiedzialnym za wysyłanie wiadomości e-mail, wynikającą z błędów projektowych. Nieuwierzytelniony atakujący zdalny może nadużyć tego API do masowego rozsyłania niechcianych wiadomości w imieniu organizacji korzystającej z produktu.
▸ Pokaż oryginał (EN)
The vulnerability exists in BLUVOYIX due to design flaws in the email sending API. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable email sending API. Successful exploitation of this vulnerability could allow the attacker to send unsolicited emails to anyone on behalf of the company.
Podatność (CWE-400 — niekontrolowane zużycie zasobów) wynika z braku odpowiednich mechanizmów uwierzytelniania i ograniczeń dostępu do API wysyłania e-maili. Atakujący wysyła specjalnie spreparowane żądania HTTP do podatnego endpointu API bez konieczności posiadania jakichkolwiek poświadczeń. W wyniku tego serwer przetwarza żądania i wysyła wiadomości e-mail do dowolnych odbiorców, podszywając się pod domenę lub tożsamość firmy korzystającej z Bluvoyix.
Atakujący może bez ograniczeń wysyłać niechciane lub złośliwe wiadomości e-mail do dowolnych osób w imieniu firmy, co może prowadzić do poważnych szkód wizerunkowych, naruszenia reputacji domeny, umieszczenia serwera na listach blokujących (blacklistach) oraz potencjalnego nadużycia do kampanii phishingowych lub spamowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako tymczasowe obejście zaleca się ograniczenie dostępu do endpointu API wysyłania e-maili na poziomie firewall lub bramy aplikacyjnej (WAF) wyłącznie do zaufanych źródeł, a także wdrożenie mechanizmów uwierzytelniania i limitowania liczby żądań (rate limiting).
Produkt Blusparkglobal Bluvoyix — wersje wskazane w referencjach producenta
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:H/U:AmberBlusparkglobal Bluvoyix
APPBlusparkglobalwszystkie wersje
Powiązane podatności
Pominięcie uwierzytelnienia w Blusparkglobal BLUVOYIX (Auth Bypass)
Ujawnienie wewnętrznej dokumentacji API w Blusparkglobal BLUVOYIX
Brak uwierzytelnienia w admin API Blusparkglobal BLUVOYIX — pełne przejęcie platformy
BLUVOYIX: ujawnienie haseł w postaci jawnej przez nieuwierzytelnione API