Bug-Bounty Report – “Account Takeover”

Der Fehler / Die Sicherheitslücke wurde im Production-System behoben. Es besteht kein Sicherheitsrisiko mehr.
Es bestand zu keinem Zeitpunkt, Zugriff auf fremde Nutzerdaten/Produktdaten. Es besteht keine Handlungsnotwendigkeit für unsere Kunden.

^{Sicherheitsrisiko: Schwach}

Heute Mittag wurde uns per Email ein Fehler über eine Sicherheitsproblematik im Hostingpanel gemeldet.

Der Reset-Token wurde beim Passwort zurücksetzen, nach der Nutzung, nicht deaktiviert wurde. So konnte man bis zum nächsten Passwort-Reset das Passwort so oft ändern wie man will, solang man die URL bzw. den Reset-Token daraus hat. Um diese Sicherheitslücke jedoch ausnutzen zu können, muss der Angreifer den Token haben die URL kennen.

Sicherheitsproblem:
Wenn das Opfer über einen öffentlichen Dienst (z. B. öffentliches WLAN/öffentliches Internetcafé) auf die Anwendung zugreift und versucht, das Passwort zurückzusetzen, könnte ein Angreifer denselben Link zum Zurücksetzen des Passworts des Opfers über den Cache-Verlauf oder die Log-Einträge mehrfach verwenden, um das Konto des Opfers zu übernehmen.

Ablauf / Reproduce:

Gehe auf die “Passwort zurücksetzen” Seite und gib die E-Mail-Adresse ein.
Setze das Passwort zurück, indem du den Passwort-Reset-Link in der E-Mail benutzt.
Verwende denselben Link erneut, nachdem du das Passwort einmal zurückgesetzt hast
Das Passwort wird erneut über den zuvor verwendeten Link geändert.

Referenzen:

https://hackerone.com/reports/898841
https://nvd.nist.gov/vuln/detail/CVE-2020-11027

Lösung / Bug-Fix:

Nach dem Zurücksetzen des Passworts wird nun der Token in der Datenbank geändert und wird dem Nutzer nicht mehr mitgeteilt.

Auch du möchtest für das Finden von Fehlern belohnt werden?
Nehme jetzt am Bug-Bounty-Programm von DevStorage teil!