Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00613
- Title: 某單位 所有 BAPI 部署(6 個端點)CAPTCHA 明文洩漏 — 完全繞過登入暴力破解防護
- Introduction: 某企業即時通訊 SaaS 平台旗下兩個產品品牌的所有 BAPI 端點(GET /getcaptcha)在 JSON 回應中同時回傳 CAPTCHA 圖片 base64 與明文解答,使 CAPTCHA 機制完全失效。攻擊者可即時讀取正確解答,對登入端點發動無限制自動化暴力破解,完全繞過帳號保護機制。本漏洞影響 6 個已確認的生產/Staging/UAT 端點,為跨兩個品牌部署的系統性設計缺陷。
處理狀態
目前狀態
通報未回應
Last Update : 2026/05/27
-
新提交
-
已審核
-
通報中
-
未修補
-
未複測
-
公開
處理歷程
- 2026/04/30 18:21:29 : 新提交 (由 罐頭 更新此狀態)
- 2026/05/05 00:22:06 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/05/27 15:31:42 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/05/27 15:31:42 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/05/27 15:31:42 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
詳細資料
- ZDID:ZD-2026-00613
- 通報者:guan4tou2 (罐頭)
- 風險:嚴重
- 類型:資訊洩漏 (Information Leakage)
留言討論
登入後留言