[Bounty] 台電雲端硬碟 Broken Access Control

Vulnerability Overview

ZDID: ZD-2022-00112
發信 Vendor: 台灣電力公司
Title: [Bounty] 台電雲端硬碟 Broken Access Control
Introduction: Broken Access Control & Informationi Leakage

處理狀態

目前狀態

公開

Last Update : 2022/04/22

新提交
已審核
已通報
已修補
已複測
公開

處理歷程

2022/02/20 17:52:51 : 新提交 (由 MksYi 更新此狀態)
2022/02/21 14:28:30 : 新提交 (由 MksYi 更新此狀態)
2022/02/21 16:56:58 : 新提交 (由 MksYi 更新此狀態)
2022/02/22 01:43:40 : 新提交 (由 MksYi 更新此狀態)
2022/02/22 01:44:36 : 新提交 (由 MksYi 更新此狀態)
2022/02/22 01:52:54 : 新提交 (由 MksYi 更新此狀態)
2022/02/22 05:17:34 : 新提交 (由 MksYi 更新此狀態)
2022/02/22 19:16:19 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/02/24 11:04:35 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/02/24 11:04:35 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/02/24 11:04:35 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/04/18 10:18:41 : 複測申請中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/04/18 17:25:41 : 確認已修補 (由 MksYi 更新此狀態)
2022/04/22 03:00:10 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2022-00112
通報者：MksYi (MksYi)
風險：高
類型：存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料，或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

Informationi Leakage

發現台電雲端硬碟「https://webstorage.taipower.com.tw/portal/#/login/authentication 」可自行註冊帳號，嘗試註冊並使用該服務。
註冊後嘗試上傳資料，並在分享功能中發現問題。
在分享設定頁面中，點選組織樹，接著點擊 people 群組。
點開之後，由於清單過於龐大會暫時進入停頓狀態，當清單載入完畢即可獲取「台電員工相關資料」共計 32,268 筆。
藉由洩漏的員工帳戶資訊，列舉出「ZD-2022-00118 ( https://zeroday.hitcon.org/vulnerability/ZD-2022-00118 ) 」、「ZD-2022-00124 ( https://zeroday.hitcon.org/vulnerability/ZD-2022-00124 ) 」、「ZD-2022-00125 ( https://zeroday.hitcon.org/vulnerability/ZD-2022-00125 ) 」系統之權限，其中 ZD-2022-00124 為高權限帳戶。