Podatność w produkcie BLUVOYIX polega na nieautoryzowanym ujawnieniu wewnętrznej dokumentacji API, co umożliwia nieuwierzytelnionemu atakującemu zdalne nadużycie wewnętrznych funkcji platformy. Oceniona jako KRYTYCZNA z maksymalnym wynikiem CVSS 10.0, stanowi poważne zagrożenie dla integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
The vulnerability exists in BLUVOYIX due to the exposure of sensitive internal API documentation. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the APIs exposed by the documentation. Successful exploitation of this vulnerability could allow the attacker to cause damage to the targeted platform by abusing internal functionality.
Wewnętrzna dokumentacja API jest dostępna bez uwierzytelnienia, ujawniając szczegóły dotyczące działania i struktury interfejsów programistycznych produktu. Nieuwierzytelniony atakujący zdalnie wysyła specjalnie spreparowane żądania HTTP do punktów końcowych (endpoints) opisanych w tej dokumentacji. Poprzez nadużycie ujawnionych wewnętrznych funkcji możliwe jest wyrządzenie szkód w atakowanej platformie.
Atakujący może bez żadnego uwierzytelnienia zdalnie nadużyć wewnętrznych funkcji platformy BLUVOYIX, powodując szkody w jej działaniu, integralności danych oraz dostępności usług. Ze względu na pełny wpływ na poufność, integralność i dostępność zarówno systemu docelowego, jak i systemów z nim powiązanych, skutki mogą mieć charakter krytyczny.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do dokumentacji API wyłącznie dla uwierzytelnionych i autoryzowanych użytkowników oraz monitorowanie ruchu HTTP kierowanego do wewnętrznych punktów końcowych API.
Produkt Blusparkglobal BLUVOYIX — konkretne wersje nie zostały wskazane w opisie; szczegóły dostępne w referencjach producenta.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:L/U:AmberBlusparkglobal Bluvoyix
APPBlusparkglobalwszystkie wersje
Powiązane podatności
Pominięcie uwierzytelnienia w Blusparkglobal BLUVOYIX (Auth Bypass)
Brak uwierzytelnienia w admin API Blusparkglobal BLUVOYIX — pełne przejęcie platformy
Blusparkglobal Bluvoyix — niekontrolowane wysyłanie e-maili przez API
BLUVOYIX: ujawnienie haseł w postaci jawnej przez nieuwierzytelnione API