PT-2020-20281 · Oklok · Oklok Mobile Companion App+1
Publicado
2020-05-04
·
Atualizado
2021-07-21
·
CVE-2020-8791
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo complementar móvel OKLOK versão 3.1.1
Cadeado Bluetooth com leitor de impressão digital FB50 versão 2.3
Descrição
A vulnerabilidade permite que invasores remotos enviem solicitações de API utilizando tokens autenticados, mas não autorizados, resultando em problemas de execução de código de forma não autorizada (IDOR). Um invasor remoto pode usar seu próprio token para fazer solicitações de API não autorizadas em nome de IDs de usuário arbitrários. É muito fácil adivinhar IDs de usuário válidos e atuais devido à convenção de atribuição de ID de usuário usada pelo aplicativo. Um invasor remoto poderia coletar endereços de e-mail, hashes de senha MD5 sem sal, nomes de cadeados atribuídos pelo proprietário e nomes de impressões digitais atribuídos pelo proprietário para qualquer intervalo de IDs de usuário arbitrários.
Recomendações
Para o aplicativo complementar móvel OKLOK versão 3.1.1, considere desativar o uso de tokens autenticados até que um patch esteja disponível.
Para o cadeado Bluetooth com impressão digital FB50 versão 2.3, restrinja o acesso aos pontos de extremidade da API para minimizar o risco de exploração.
Evite usar a variável
user ID nas solicitações de API afetadas até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fingerprint Bluetooth Padlock Fb50
Oklok Mobile Companion App