2021年12月6日21:43:38#1091209 [h1-2102] Wholesale - CSRF 为客户生成邀请令牌并将客户移动到受邀状态已关闭评论82 views字数 1681阅读5分36秒阅读模式
概括:
Wholesale 应用程序中存在一个 CSRF 漏洞,用于为用户生成邀请令牌并将该用户移动到invited状态。
重现步骤:
- 登录 Shopify 并配置 Wholesale
- 添加价目表
- 添加带有标签的客户
wholesale - 调整价目表以包含带有
wholesale标签的用户 - 此时您应该在客户部分看到用户(见图 1)
- 现在,导航到
https://poc.rhynorater.com/wholesaleShopify/CSRF.html - 等待 30 秒(为了更好的测量)
- 刷新客户页面,注意用户状态为
invited
图1
图片F 1178635:Screenshot_from_2021-01-31_22-06-15.png 51.01 KiB
支持材料/参考资料:
影响
将客户移至invited状态并生成邀请链接。
- 1个附件:
将状态更改为 新的。
2 月 1 日(10 个月前)
啊,是的,那是因为发出的 ID 比我预期的要多。对于那个很抱歉。我在这里创建了一个新的 PoC:
1http://poc.rhynorater.com/wholesaleShopify/CSRF.php?id=
您可以在id参数中提供目标用户的 ID 。这是一个 PoC:{F1179411}
HackerOne 分类 将状态更改为 分类。
2 月 1 日(10 个月前)
谢谢@rhynorater,主要问题是/admin/shops/17543/。我的商店 ID 是17490,这就是它不起作用的原因。
基础分数 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N 3.1
环境:非核心(由 CR:L/IR:L/AR:L 修改)2.4
攻击复杂度:H
- 特定条件或可衡量的开发努力?:是
所需权限:N
- 需要特权帐户(非自行注册)?:否
用户交互:R
- 要求受害者在漏洞利用期间执行某些操作?:是
范围:U
- 攻击者能否影响单独的服务?:否
保密性:N
- 可以访问多少数据?:无
诚信:L
- 可以更改多少数据?:一些
- Shopify 有多少受到影响?:大部分还是全部
可用性:N
- 网络服务中断程度?:无
机器人: h1-2102-transfer-bot 将报告标题从Wholesale-CSRF 更改为 Generate Invitation Token for a Customer and Move Customer to Invited Status to [h1-2102] Wholesale-CSRF to Generate Invitation Token for a Customer and Move Customer to Invited Status 。
3 月 9 日(9 个月前)
Shopify员工 更新了严重性
低 ( 3.1 )
到
低 ( 2.4 )
.
3 月 23 日(9 个月前)
这份报告已经披露。
12 月 6 日(12 小时前)
相关推荐: CWE-646 依赖于外部提供文件的文件名或扩展名
CWE-646 依赖于外部提供文件的文件名或扩展名 Reliance on File Name or Extension of Externally-Supplied File 结构: Simple Abstraction: Variant 状态: Incom…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论