Valtimo — это платформа управления бизнес-процессами и кейсами с открытым исходным кодом. При открытии формы в Valtimo токен доступа (JWT) …
Valtimo — это платформа управления бизнес-процессами и кейсами с открытым исходным кодом. При открытии формы в Valtimo токен доступа (JWT) пользователя предоставляется `api.form.io` через заголовок `x-jwt-token`. Злоумышленник может получить личную информацию из этого токена или использовать его для выполнения запросов к API Valtimo REST от имени вошедшего в систему пользователя. Эта проблема вызвана неправильной конфигурацией компонента Form.io. Чтобы выполнить эту атаку, необходимо выполнить следующие условия. Злоумышленнику необходимо иметь доступ к сетевому трафику в домене `api.form.io`; содержимое заголовка `x-jwt-token` регистрируется или иным образом доступно злоумышленнику; злоумышленнику необходим сетевой доступ к API Valtimo; и злоумышленнику необходимо действовать в течение времени жизни токена доступа. TTL по умолчанию в Keycloak составляет 5 минут. Версии 10.8.4, 11.1.6 и 11.2.2 были исправлены.
Продукт записывает конфиденциальные сведения в файл журнала.
https://cwe.mitre.org/data/definitions/532.html →Открыть в коллекции CWE →Злоумышленник направляет случайные, некорректные или иным образом неожиданные сообщения целевому приложению и наблюдает за возвращаемыми журналами или сообщениями об ошибках приложения. Злоумышленник изначально не знает, как цель реагирует на отдельные сообщения, однако, перебирая большое количество вариантов сообщений, он может найти вариант, вызывающий желаемое поведение. В данной атаке целью фаззинга является наблюдение за журналом и сообщениями об ошибках приложения, хотя фаззинг цели иногда также может приводить к переходу цели в нестабильное состояние и её аварийному завершению.
https://capec.mitre.org/data/definitions/215.html →Открыть в коллекции CAPEC →