Platforma Altium 365 była skonfigurowana z nadmiernie liberalną polityką Cross-Origin Resource Sharing (CORS), która zezwalała na uwierzytelnione żądania cross-origin z subdomen kontrolowanych przez Altium, w tym z forum.live.altium.com. W połączeniu z podatnościami w tych zewnętrznych aplikacjach misconfiguracja ta umożliwia nieautoryzowany dostęp do danych workspace oraz ominięcie kontroli dostępu.
▸ Pokaż oryginał (EN)
Altium 365 workspace endpoints were configured with an overly permissive Cross-Origin Resource Sharing (CORS) policy that allowed credentialed cross-origin requests from other Altium-controlled subdomains, including forum.live.altium.com. As a result, JavaScript executing on those origins could access authenticated workspace APIs in the context of a logged-in user. When chained with vulnerabilities in those external applications, this misconfiguration enables unauthorized access to workspace data, administrative actions, and bypass of IP allowlisting controls, including in GovCloud environments.
Błędna konfiguracja CORS w punktach końcowych Altium 365 zezwalała na uwierzytelnione żądania cross-origin (z przesyłaniem ciasteczek/kredencjałów) pochodzące z innych subdomen Altium, takich jak forum.live.altium.com. Złośliwy kod JavaScript wykonywany w kontekście tych subdomen mógł w imieniu zalogowanego użytkownika wywoływać chronione API workspace. Atak wymaga połączenia tej misconfiguracji z osobną podatnością w jednej z dozwolonych subdomen, co pozwala atakującemu na skonstruowanie scenariusza, w którym ofiara odwiedza odpowiednio spreparowaną stronę.
Atakujący może uzyskać nieautoryzowany dostęp do danych workspace zalogowanego użytkownika, wykonywać uprzywilejowane akcje administracyjne oraz ominąć mechanizmy kontroli dostępu opartej na liście dozwolonych adresów IP (IP allowlisting), w tym w środowiskach GovCloud.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.altium.com/platform/security-compliance/security-advisories). Zaleca się weryfikację konfiguracji polityki CORS w środowisku Altium 365 oraz monitorowanie dostępu do API workspace pod kątem nieautoryzowanych żądań cross-origin.
Altium 365 – punkty końcowe workspace (wersje wskazane w referencjach producenta); problem dotyczył również środowisk GovCloud
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H