Hackernews 编译,转载请注明出处:
网络安全研究人员已经披露了Zendesk Explore中现已修补的漏洞的详细信息,攻击者可能利用这些漏洞从启用了该功能的客户帐户中获取未经授权的信息访问权限。
Varonis在与The Hacker News共享的一份报告中表示:“在修补之前,该漏洞将允许黑客在启用Explore的情况下访问Zendesk帐户中的对话、电子邮件地址、票证、评论和其他信息。”
这家网络安全公司表示,没有证据表明这些问题在现实世界的攻击中被积极利用。客户无需采取任何行动。
Zendesk Explore是一种报告和分析解决方案,允许组织“查看和分析有关客户和支持资源的关键信息”。
根据该安全软件公司的说法,利用该漏洞首先需要攻击者以新的外部用户身份注册受害者Zendesk帐户的票务服务,该功能可能默认启用,以允许最终用户提交支持票证。
该漏洞与GraphQL API中的SQL注入有关,该注入可能被滥用,以管理员身份泄露数据库中存储的所有信息,包括电子邮件地址、票证以及与实时代理的对话。
第二个漏洞涉及与查询执行API相关的逻辑访问问题,该API被配置为在不检查进行调用的“用户”是否有足够权限的情况下运行查询。
这意味着新创建的最终用户可以调用此API,更改查询,并从目标Zendesk帐户的RDS中的任何表中窃取数据,而无需SQLi。
Varonis表示,这些问题已于8月30日向Zendesk披露,随后该公司于2022年9月8日纠正了这些漏洞。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文