漏洞起因
设计错误
危险等级
低
影响系统
Kayako Fusion
不受影响系统
危害
远程攻击者利用漏洞获得敏感信息。
攻击所需条件
攻击者必须访问Kayako Fusion。
漏洞信息
Kayako Fusion是一款服务台和即时聊天软件。
Kayako Fusion存在安全漏洞,允许拥有’staff’特权的用户账户获得敏感信息。
问题存在于基于Kayako查询语言报告生成逻辑上,授权的’staff’特权用户可生成包含用户名和密码HASH信息。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://gist.github.com/09cb5ef5858fc1a58369
https://gist.github.com/5a2699660dda345c2953
漏洞提供者
Yuri Goltsev and Alexander Zaitsev of Positive Research Center
0 条评论。