Broken Access Control & XSS Schwachstelle in Shopmetrics Mystery Shopping Software

Title

Broken access control & Cross-Site Scripting

Product

Shopmetrics Mystery Shopping Software

Vulnerable Version

SaaS platform before v21-11

Fixed Version

SaaS platform v21-11

CVE Number

n/a for SaaS

Impact

critical

Homepage

https://www.shopmetrics.com/

Found

06.05.2021

D. Zalmanov and A. Vodyasov (Office Moscow)

Die Shopmetrics Mystery Shopping Software (SaaS) war von einer Broken Access Control Schwachstelle betroffen, die es einem Angreifer erlaubte, beliebige Nutzeraccounts inkl. administrativer Nutzer über die Passwort-Reset Funktion zu übernehmen. Zusätzlich konnte ein Angreifer Aktionen im Kontext der attackierten Nutzer der Software über Cross-Site Scripting Schwachstellen ausführen.

Zum vollständigen Security Advisory (Englisch).

EOF D. Zalmanov and A. Vodyasov (Office Moscow) / @2022

Zurück

Broken Access Control & XSS Schwachstelle in Shopmetrics Mystery Shopping Software

Wir nutzen Cookies

Technisch erforderlich

Analyse / Statistik

Matomo