PT-2022-20218 · Unknown · Supersmart
Nerya Zadkani
·
Publicado
2022-07-21
·
Atualizado
2022-07-27
·
CVE-2022-30628
CVSS v3.1
4.8
Média
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Supersmart (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite o download de todos os recibos sem autenticação. Para explorar essa vulnerabilidade, um invasor deve primeiro acessar o endpoint da API “https://XXXX.supersmart.me/services/v4/customer/signin” para obter um
TOKEN. Em seguida, ele pode acessar a API que fornece imagens de faturas com base na URL “https://XXXX.supersmart.me/services/v4/invoiceImg?orderId=XXXXX”.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Supersmart