CVE

¡Buenas! Tras haberos contado en mi último post cómo resolví el primer reto del CTF JNIC VIEWNEXT, y a la espera de publicar los otros cuatro que quedan, hoy vuelvo para hablaros de adAS, un Single Sign On (SSO) usado por una gran cantidad de universidades.

Detalles: Categoría: CVE

Leer más: From Open Redirect to RCE in adAS - Múltiples CVEs

En uno de los test de intrusión que se realizaban para un cliente se encontró que usaban la herramienta YOURLS en uno de sus dominios. Debido a esto, decidimos revisar el código publicado en GitHub para ver si encontrábamos alguna vulnerabilidad y así, poder utilizarla para acceder a la organización, y... ¡efectivamente!... algo se escondía tras sus métodos de autenticación que hizo que encontrásemos una vulnerabilidad en la API, lo cual nos permitía realizar acciones en YOURLS como ver estadísticas de uso o crear enlaces para, por ejemplo, iniciar una campaña de phishing.

Detalles: Categoría: CVE

Leer más: CVE-2019-14537 Api Authentication bypass via Type Juggling

Página 1 de 2

InicioAnterior12 Siguiente Final

Inicio

Investigaciones

Writeups

CVE

Herramientas

Security Hacker

From Open Redirect to RCE in adAS - Múltiples CVEs

CVE-2019-14537 Api Authentication bypass via Type Juggling

Buscar post

Entradas recientes

Lazarus: plata o plomo 2/3

Lazarus: plata o plomo 3/3

Lazarus: plata o plomo 1/3

Resolviendo los retos del CTF JNIC-VIEWNEXT. Reto 2

SYSMON para monitorizarlos a todos 3/3

Categorías

Investigaciones (7)

Writeups (3)

CVE (4)

Herramientas (7)

Etiquetas

Social

S5 Box