PT-2022-12203 · Unknown · Buddyboss Platform
Publicado
2022-01-26
·
Atualizado
2022-02-02
·
CVE-2021-44692
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plataforma BuddyBoss, versões 1.8.0 e anteriores
Descrição
A vulnerabilidade permite que invasores remotos obtenham o endereço de e-mail de cada usuário. Ao criar um novo usuário, é gerado um ID exclusivo para o perfil dele, que corresponde ao seu endereço de e-mail privado com símbolos removidos e pontos substituídos por hífens. Por exemplo, JohnDoe@example.com se tornaria /members/johndoeexample-com e Jo.test@example.com se tornaria /members/jo-testexample-com. A lista de membros está disponível para todos e, na configuração padrão, frequentemente sem autenticação, tornando trivial a coleta de uma lista de endereços de e-mail.
Recomendações
Para as versões 1.8.0 e anteriores da plataforma BuddyBoss, considere restringir o acesso à lista de membros para minimizar o risco de exploração, uma vez que ela está disponível para todos e, frequentemente, sem autenticação na configuração padrão.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Buddyboss Platform