Podatność typu open redirect (CWE-601) w aplikacji DivvyDrive firmy DivvyDrive Information Technologies Inc. pozwala atakującemu na przekierowanie użytkownika do niezaufanej witryny poprzez wstrzyknięcie parametru (parameter injection). Podatność uzyskała krytyczny poziom CVSS 9.6, ponieważ może być wykorzystana zdalnie bez uwierzytelnienia, a jej skutki obejmują pełne naruszenie poufności, integralności i dostępności w kontekście zmienionego zakresu (Scope: Changed).
▸ Pokaż oryginał (EN)
URL redirection to untrusted site ('open redirect') vulnerability in DivvyDrive Information Technologies Inc. DivvyDrive allows Parameter Injection. This issue affects DivvyDrive: from 4.8.2.9 before 4.8.3.2.
Atakujący przygotowuje specjalnie spreparowany link do DivvyDrive zawierający zmanipulowany parametr URL wskazujący na kontrolowaną przez niego zewnętrzną witrynę. Gdy ofiara kliknie taki link (wymagana interakcja użytkownika — UI:R), aplikacja przetwarza parametr bez odpowiedniej walidacji i przekierowuje użytkownika na złośliwą stronę. Mechanizm parameter injection umożliwia ominięcie ewentualnych filtrów i osadzenie nieautoryzowanej wartości docelowej w przekierowaniu.
Atakujący może nakłonić użytkownika do odwiedzenia złośliwej witryny, co w konsekwencji może prowadzić do phishingu, kradzieży poświadczeń, instalacji złośliwego oprogramowania lub przejęcia sesji. Wysoki poziom CVSS wskazuje na potencjalne poważne naruszenie poufności, integralności i dostępności zasobów użytkownika.
Należy zaktualizować DivvyDrive do wersji 4.8.3.2 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz w komunikacie bezpieczeństwa pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0182
DivvyDrive w wersjach od 4.8.2.9 do 4.8.3.2 (wyłącznie), czyli wersje od 4.8.2.9 włącznie przed wersją 4.8.3.2.
Podatność została opublikowana przez tureckie centrum bezpieczeństwa cybernetycznego (siberguvenlik.gov.tr) w komunikacie TR-26-0182.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H