緯創資通徵人網站IDOR漏洞

Vulnerability Overview

ZDID: ZD-2024-00734
發信 Vendor: Wistron緯創資通
Title: 緯創資通徵人網站IDOR漏洞
Introduction: Anyone who has the website account can view other people informations

處理狀態

目前狀態

公開

Last Update : 2024/08/25

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2024/06/25 10:55:17 : 新提交 (由鄉民更新此狀態)
2024/06/25 18:42:19 : 新提交 (由鄉民更新此狀態)
2024/06/25 18:43:45 : 新提交 (由鄉民更新此狀態)
2024/06/27 18:06:16 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/10 17:39:05 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/10 17:39:05 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/10 17:39:05 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/08/25 03:00:15 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2024-00734
通報者：鄉民
風險：高
類型：不安全的直接存取物件 (Insecure Direct Object References, IDOR)

參考資料

攻擊者可經由該漏洞取得系統中的其他使用者的資料或是系統檔案。

OWASP Top 10 - 2013 A4 - Insecure Direct Object References
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References

Insecure Direct Object Reference Prevention Cheat Sheet
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.md

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

Vulnerability

IDOR

POC

Register an account from https://jobs.wistron.com.
Go to page https://jobs.wistron.com/#/app/resume/myResume?site=WHQ and can see the page call an API called (https://jobs.wistron.com/v1/resume/<ID>)
Using Burpsuite/Terminal Call the API https://jobs.wistron.com/v1/resume/<ID> with header "Authorization: Bearer <JWT>"
You can get any people's information with the API.
The following Pictures are taken from Burpsuite

Impact

I think that's critical on Wistron HR system, because the system have all people information that include IC Number, Passport, Phone number, Email, Certifications and so on. And The system allows people register easily.

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

緯創資通徵人網站IDOR漏洞 - HITCON ZeroDay

Vulnerability Detail Report