محققان امنیتی جزئیاتی از نقص وصلهشده در Zendesk Explore را افشا کردهاند که میتواند برای دسترسی غیرمجاز به اطلاعات حسابهای مشتریانی که این ویژگی را فعال کردهاند مورد سوءاستفاده قرار گیرد.
Varonis در گزارشی گفت: قبل از اصلاح، این آسیبپذیری به مهاجم اجازه میداد به مکالمات، آدرسهای ایمیل، تیکتها، نظرات و دیگر اطلاعات حسابهای Zendesk که قابلیت Explore در آنها فعال است، دسترسی داشته باشد.
این شرکت امنیتی گفت هیچ مدرکی وجود ندارد که نشان دهد این آسیبپذیری در حملات سایبری مورد استفاده قرار گرفته است و مشتریان لازم نیست هیچ اقدامی انجام دهند.
به گفته این شرکت امنیتی، سوءاستفاده از این نقص ابتدا مستلزم آن است که مهاجم در سرویس پشتیبانی با تیکت Zendesk قربانی، به عنوان یک کاربر جدید ثبتنام کند، این ویژگی احتمالاً به طور پیشفرض فعال شده است تا به همه کاربران امکان ارسال تیکتهای پشتیبانی را بدهد.
این آسیبپذیری به یک SQL Injection در GraphQL API مربوط میشود که میتواند برای استخراج تمام اطلاعات ذخیرهشده در پایگاهداده با عنوان کاربر admin، از جمله آدرسهای ایمیل، تیکتها و مکالمات live مورد سوءاستفاده قرار گیرد.
Varonis در گزارشی گفت: قبل از اصلاح، این آسیبپذیری به مهاجم اجازه میداد به مکالمات، آدرسهای ایمیل، تیکتها، نظرات و دیگر اطلاعات حسابهای Zendesk که قابلیت Explore در آنها فعال است، دسترسی داشته باشد.
این شرکت امنیتی گفت هیچ مدرکی وجود ندارد که نشان دهد این آسیبپذیری در حملات سایبری مورد استفاده قرار گرفته است و مشتریان لازم نیست هیچ اقدامی انجام دهند.
به گفته این شرکت امنیتی، سوءاستفاده از این نقص ابتدا مستلزم آن است که مهاجم در سرویس پشتیبانی با تیکت Zendesk قربانی، به عنوان یک کاربر جدید ثبتنام کند، این ویژگی احتمالاً به طور پیشفرض فعال شده است تا به همه کاربران امکان ارسال تیکتهای پشتیبانی را بدهد.
این آسیبپذیری به یک SQL Injection در GraphQL API مربوط میشود که میتواند برای استخراج تمام اطلاعات ذخیرهشده در پایگاهداده با عنوان کاربر admin، از جمله آدرسهای ایمیل، تیکتها و مکالمات live مورد سوءاستفاده قرار گیرد.