PT-2022-16527 · Unknown · Ourphoto App
1Oopho1E
·
Publicado
2022-11-28
·
Atualizado
2022-12-01
·
CVE-2022-24187
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo Ourphoto, versão 1.4.1
Descrição
A vulnerabilidade afeta os endpoints
/device/*, nos quais os valores user id e device id apresentam vulnerabilidades de referência direta a objetos insegura. Um invasor pode enumerar os valores user id e device id de outros usuários finais incrementando ou decrementando os números de identificação, o que permite que ele descubra informações confidenciais, como endereços de e-mail dos usuários finais e seus valores exclusivos de frame token.Recomendações
Para a versão 1.4.1 do aplicativo Ourphoto, considere restringir o acesso aos pontos finais
/device/* para minimizar o risco de exploração. Como solução temporária, evite usar os parâmetros user id e device id nos pontos finais afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ourphoto App