PT-2022-16531 · Unknown · Ourphoto App
1Oopho1E
·
Publicado
2022-11-28
·
Atualizado
2023-08-08
·
CVE-2022-24190
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo Ourphoto, versão 1.4.1
Descrição
O problema diz respeito ao ponto de extremidade “/device/acceptBind”, que não exige autenticação nem autorização. Especificamente, o cabeçalho
user token não está implementado nem presente nesse ponto de extremidade. Isso permite que um invasor envie uma solicitação para vincular sua conta à moldura de qualquer usuário e, em seguida, aceite sua própria solicitação de vinculação sem a aprovação ou interação do usuário final.Recomendações
Para a versão 1.4.1 do aplicativo Ourphoto, considere desativar o ponto de extremidade “/device/acceptBind” até que esteja disponível uma correção que implemente autenticação e autorização adequadas, incluindo o uso do cabeçalho
user token. Restrinja o acesso a este ponto de extremidade para minimizar o risco de exploração. Evite usar este endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Missing Authentication
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ourphoto App