Szokująca podatność w API Honeywell – Zdobądź superadmina w 3 krokach!
Szokująca podatność w API Honeywell – Zdobądź superadmina w 3 krokach!
W świecie cyberbezpieczeństwa pojawiła się alarmująca informacja dotycząca jednego z API dużej korporacji – Honeywell. Badacze odkryli, że można zdobyć uprawnienia superadmina w zaledwie trzech prostych krokach!
Jak to możliwe? Oto kluczowe kroki, które prowadzą do niebezpiecznej luki:
Brak uwierzytelnienia: Endpoint /api/users był dostępny bez jakiejkolwiek autoryzacji, co umożliwiało wylistowanie wszystkich użytkowników w systemie oraz poznanie ich flag, takich jak status admina. Rejestracja niskouprawnionego użytkownika: API pozwalało na stworzenie nowego użytkownika z minimalnymi uprawnieniami. Edytowanie użytkowników: Niskouprawniony użytkownik mógł edytować dowolnego użytkownika, ustawiając flagi isSuperAdmin=true oraz isInternal=true.Ta podatność stawia pod znakiem zapytania bezpieczeństwo całej platformy i wymaga natychmiastowych działań ze strony korporacji.
Na podstawie: Źródła
