聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
公司指出,目前尚未有证据表明这些问题已遭攻击,目前客户无需采取任何操作。
Zendesk Explore 是一款报告和分析解决方案,可使组织机构“查看并分析关于客户的关键信息以及支持资源”。研究人员指出,利用这些漏洞要求攻击者以新的外部用户身份注册受害者 Zendesk 账户的工单服务,而这个特性可能是默认启用的,目的是让终端用户提交支持工单。
该漏洞和 GraphQL API 中的一个SQL 注入有关,可被攻击者以管理员用户身份提取数据库中的所有信息,包括邮件地址、工单以及和实时代理的会话。
第二个缺陷与一个查询执行API的逻辑访问问题相关。该API被配置为在无需检查该提出调用的“用户”是否具有适当权限的情况下,运行这些查询,“这意味着新创建的终端用户可调用该API、更改查询并从Zendesk目标账户的RDS 中的任意表格中窃取数据,而无需任何SQLi。”
研究人员指出,已在8月30日将问题披露给Zendesk,随后这些问题在2022年9月8日得到修复。
https://thehackernews.com/2022/11/researchers-reported-critical-sqli-and.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Zendesk 分析服务中存在严重的 SQLi 和访问漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论