یک محقق امنیتی یک آسیب پذیری اجرای کد از راه دور (RCE) را در یکی از دامنه های تلفن همراه Starbuck کشف کرده است که اکنون وصله شده است.
همانطور که بسیاری از شرکتهای بزرگ دیگر این کار را می کنند ، غول قهوه ایالات متحده در HackerOne برنامه نکاتی را در اختیار شما قرار می دهد و در آنجا بود که Kamil “ko2sec” Onur kzkaleli گزارش آسیب پذیری خود را در ماه نوامبر ارائه کرد که به تازگی به اطلاع عموم رسیده است.
طبق مشاوره ، ko2sec یک نقطه پایانی .ashx را کشف کرد که برای مدیریت پرونده های تصویری در سیستم عامل مشتریان استارباکس در سنگاپور در وب سایت mobile.starbucks.com.sg طراحی شده است. در حالی که نقطه پایانی برای پرونده های تصویری در نظر گرفته شده بود ، اما بارگذاری نوع فایل را محدود نمی کند ، بنابراین یک مهاجم می تواند به طور بالقوه از این سو to استفاده کند تا به جای آن پرونده های مخربی را بارگذاری کند و از راه دور کد دلخواه را اجرا کند.
استارباکس تمام جزئیات گزارش بات را به صورت علنی اعلام نکرده است اما به این نکته توجه داشت که تجزیه و تحلیل ko2sec نشان داد که “نقاط پایانی اضافی در سایر حوزه های خارج از دامنه که این آسیب پذیری را به اشتراک می گذارند”.
برنامه جایزه اشکال استارباکس
در حالی که CVE برای این آسیب پذیری مهم صادر نشده است ، نمره شدت 9.8 به گزارش اضافه شد و ko2sec 5600 دلار برای کار خود دریافت کرد.
با این حال ، این اولین آسیب پذیری نیست که ko2sec در وب سایت استارباکس سنگاپور پیدا کرده است. در ماه اکتبر ، او یک سوit استفاده از حساب را در سایت شرکت کشف کرد که ناشی از آزمایش های باز است. این اشکال می تواند برای هدف قرار دادن کاربران توسط آدرس های ایمیل آنها ، مشاهده اطلاعات شخصی آنها و استفاده از هرگونه اعتبار بارگیری شده در کیف پول های حساب آنها برای خرید مورد سو make استفاده قرار بگیرد.
Ko2sec برای کار در این گزارش 6000 دلار دریافت کرده و از زمان اجرای برنامه bug bounty خود در HackerOne از سال 2016 ، استارباکس 1068 گزارش آسیب پذیری را در این سیستم عامل دریافت کرده و 640،000 دلار پاداش به محققان امنیتی پرداخت کرده است.
از طریق ZDNet
منبع: tadrisriazi-news.ir
آخرین دیدگاهها