CVE

¡Buenas! Tras haberos contado en mi último post cómo resolví el primer reto del CTF JNIC VIEWNEXT, y a la espera de publicar los otros cuatro que quedan, hoy vuelvo para hablaros de adAS, un Single Sign On (SSO) usado por una gran cantidad de universidades.

Detalles: Categoría: CVE

Leer más: From Open Redirect to RCE in adAS - Múltiples CVEs

Twittear

share with Telegram

En uno de los test de intrusión que se realizaban para un cliente se encontró que usaban la herramienta YOURLS en uno de sus dominios. Debido a esto, decidimos revisar el código publicado en GitHub para ver si encontrábamos alguna vulnerabilidad y así, poder utilizarla para acceder a la organización, y... ¡efectivamente!... algo se escondía tras sus métodos de autenticación que hizo que encontrásemos una vulnerabilidad en la API, lo cual nos permitía realizar acciones en YOURLS como ver estadísticas de uso o crear enlaces para, por ejemplo, iniciar una campaña de phishing.

Detalles: Categoría: CVE

Leer más: CVE-2019-14537 Api Authentication bypass via Type Juggling

Twittear

share with Telegram

Página 1 de 2

InicioAnterior12 Siguiente Final

Inicio

Investigaciones

Writeups

CVE

Herramientas

Introducción al hacking

Vulnerabilidades

Malware

Security Hacker

From Open Redirect to RCE in adAS - Múltiples CVEs

CVE-2019-14537 Api Authentication bypass via Type Juggling

Buscar post

Entradas recientes

Saltos entre redes IT y OT. Parte II

Saltos entre redes IT y OT. Parte I

WSC2 command and control

Seguridad en el sector sanitario. Parte II

Exfiltración de credenciales NTLM mediante un OVA malicioso

Categorías

Investigaciones (12)

Writeups (3)

CVE (4)

Herramientas (10)

Etiquetas

Social

S5 Box