Die 4BRO App kommunizierte mit einer API und nutzte für die Authentifizierung einen JWT als Bearer Token, welcher unzureichend verifiziert wurde. Durch das Ersetzen der Nutzer-E-Mail in dem JWT-Body war ein Vollzugriff auf ein beliebiges Nutzerkonto möglich. Außerdem wurden interne vertrauliche Daten in einem öffentlichen API-Endpunkt bereitgestellt. Das Sicherheitsproblem wurde am 2024-04-17 behoben.
Zum vollständigen Security Advisory (Englisch).
EOF Max Rull / @2024
Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.