Уязвимость небезопасной прямой ссылки на объект (IDOR) в чате 1millionbot Millie, которая позволяет просматривать частные разговоры других пользователей, просто изменив идентификатор разговора. Уязвимость присутствует в конечной точке «api.1millionbot.com/api/public/conversations/» и в случае ее использования может позволить удаленному злоумышленнику получить доступ к частным разговорам чат-ботов других пользователей, раскрывая конфиденциальные или конфиденциальные данные, не требуя учетных данных или выдавая себя за пользователей. Чтобы воспользоваться уязвимостью, злоумышленнику необходимо знать идентификатор разговора пользователя.
Показать оригинальное описание (EN)
Insecure Direct Object Reference (IDOR) vulnerability in 1millionbot Millie chat that allows private conversations of other users being viewed by simply changing the conversation ID. The vulnerability is present in the endpoint 'api.1millionbot.com/api/public/conversations/' and, if exploited, could allow a remote attacker to access other users private chatbot conversations, revealing sensitive or confidential data without requiring credentials or impersonating users. In order for the vulnerability to be exploited, the attacker must have the user's conversation ID.
Характеристики атаки
Последствия
Строка CVSS v4.0