脸谱网 Google + 推特 LinkedIn YouTube RSS 菜单 搜索 资源——博客 资源-网络研讨会 资源-报告 资源-事件 icons_066 icons_067 icons_068 icons_069 icons_070

多个漏洞Tracki / Trackimo GPS平台和应用程序

媒介
←查看更多的研究报告

剧情简介

1。披露所有Tracki / Trackimo设备/用户信息

一个不安全的直接对象引用(IDOR)脆弱性存在于https://app.tracki.com/api/support/v1/device/all,允许任何验证Tracki / Trackimo用户泄露任何Tracki设备信息,包括老板的邮件,他们的订阅计划,设备IMEI / IMSI / MSISDN。此外,受影响的参数允许注入%作为一个通配符,允许攻击者获取散装设备信息。

2。移动应用程序包含硬编码help.tracki.com Zammad票系统的凭证

Tracki的移动应用程序包含两个不同形式的授权Tracki / Trackimo Zammad票务系统使用help.tracki.com。
这些凭证可以用来查看关于其他用户的敏感信息支持门票和账户。

3所示。硬编码的凭证在API端点允许用户下载源代码Tracki API

tracki移动应用程序包含代码使得请求tracki所使用的API。
在这个网站会显示一个错误页面Laravel打开点火的实例,它泄露内部gitlab账户凭证信息披露可能导致源代码。

解决方案

根据Tracki支持,这些问题已经得到解决。
问题1:固定
问题2:一组证书仍然出现。
问题3:这个问题已经被修复。
有关更多信息,请联系Tracki和支持。

披露时间表

2021年6月8日——站得住脚的请求安全接触Tracki支持,没有收到回应。
2021年6月14日—站得住脚的从Tracki接收电话支持,通知他们报告的漏洞(电子邮件保护)主题标题为“法律部门”
2021年6月15日—站得住脚的报告漏洞Tracki支持,没有收到回应。
2021年7月14日-更新站得住脚的请求,没有收到回应。
2021年7月20日——从Tracki站得住脚的接收电话,询问站得住脚的披露政策和服务的本质
2021年7月20日——站得住脚的告知Tracki,他们并不试图出售服务,和只报告问题的消费者/产业安全
2021年7月20日——Tracki承认
2021年7月28日,Tracki告知站得住脚的,正在接受调查和固定的问题
2021年9月6日——Tracki告知站得住脚的,问题应该解决,要求确认
2021年9月7日——站得住脚的通知Tracki,虽然1 & 3出现问题解决,还似乎是硬编码的凭证Zammad在移动应用程序
2021年9月9日——Tracki告知站不住脚,他们检查凭证是否仍然是一个问题
2021年9月14日,站得住脚的通知Tracki GitLab凭据问题再次出现
2021年9月14日-发表咨询

交易报告内的所有信息提供了“是”,没有任何形式的保证,包括适销性的隐含保证和健身为特定目的,并没有保证的完整性、准确性、及时性。个人和组织负责评估任何实际或潜在的安全漏洞的影响。

站得住脚的非常重视产品安全。如果你认为你已经找到一个漏洞在一个我们的产品,我们要求您请与我们共同努力,快速解决它为了保护客户。站得住脚的相信迅速应对这样的报道,与研究人员保持沟通,并提供解决方案。

提交漏洞信息的更多细节,请参阅我们的漏洞报告指南页面。

如果你有问题或修正咨询,请电子邮件(电子邮件保护)

风险信息

成立咨询ID
- 2021 - 39
信贷

埃文·格兰特

受影响的产品
Tracki / Trackimo GPS平台和移动应用程序
风险因素
媒介

咨询时间

2021年9月14日,最初版本
2021年9月16日- 3固定更新解决方案问题
免费试 现在购买

站得住脚的脆弱性管理

以前Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。

你站得住脚的脆弱性管理试验Lumin还包括成立,成立网络应用扫描和站得住脚的云安全。

站得住脚的脆弱性管理

以前Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。今天购买你的年度订阅。

65年资产

选择你的订阅选项:

现在购买
免费试 现在购买

尝试成立Nessus专业免费的

免费7天

站得住脚的Nessus是当今市场上最全面的漏洞扫描器。

新成立Nessus专家
现在可用

Nessus专家增添了更多的功能,包括外部攻击表面扫描,和添加域和扫描云基础设施的能力。点击这里尝试Nessus专家。

填写下面的表格继续Nessus Pro的审判。

买站得住脚的Nessus专业

站得住脚的Nessus是当今市场上最全面的漏洞扫描器。站得住脚的Nessus专业将帮助自动化漏洞扫描过程,节省时间在你的合规周期,让你与你的团队。

买一个多年的许可并保存。高级支持访问添加到手机、社区和聊天支持一天24小时,一年365天。

选择您的许可

买一个多年的许可并保存。

添加的支持和培训

现在购买
更新现有的许可证|找一个经销商|请求报价
免费试 现在购买
Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。

你站得住脚的脆弱性管理试验Lumin还包括成立,成立网络应用扫描和站得住脚的云安全。

Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。今天购买你的年度订阅。

65年资产

选择你的订阅选项:

现在购买
免费试 现在购买

尝试站得住脚的Web应用程序扫描

以前Tenable.ioWeb Application Scanning

享受完全访问我们的最新的web应用程序扫描提供专为现代应用程序的一部分的一个管理平台。安全扫描整个在线组合漏洞具有高精确度没有重体力工作或中断关键web应用程序。现在报名。

你站得住脚的Web应用程序扫描试验还包括站得住脚的脆弱性管理,成立Lumin站得住脚的云安全。

买站得住脚的Web应用程序扫描

以前Tenable.ioWeb Application Scanning

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。今天购买你的年度订阅。

5 fqdn

3578美元

现在购买

免费试 联系销售

尝试成立Lumin

可视化和探索你的风险管理,跟踪风险降低随着时间的推移和基准与站得住脚的Lumin你的同行。

你站得住脚的Lumin审判还包括站得住脚的脆弱性管理,站得住脚的Web应用程序扫描和站得住脚的云安全。

买站得住脚的Lumin

联系销售代表如何站得住脚的Lumin可以帮助你了解你的整个组织和管理网络的风险。

免费试 联系销售

尝试站得住脚的云安全

以前Tenable.cs

享受完全访问检测和修复云基础设施配置错误和查看运行时的漏洞。现在注册你的免费试用。了解更多关于审判过程请点击这里。

你站得住脚的云安全试验还包括站得住脚的脆弱性管理,成立Lumin和站得住脚的Web应用程序扫描。

联系销售代表购买站得住脚的云安全

联系销售代表来了解更多关于站得住脚的云安全,看是多么容易机载云账户和获得可见性都几分钟内云配置错误和漏洞。

免费试 现在购买

尝试成立Nessus专家免费

免费7天

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

已经成立Nessus专业吗?
升级到Nessus专家免费7天。

买站得住脚的Nessus专家

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

选择您的许可

买一个多年的执照和存更多的钱。

添加的支持和培训

现在购买
更新现有的许可证|找一个经销商|请求报价
免费试 现在购买

尝试Nessus专家免费

免费7天

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

已经有了Nessus专业?
升级到Nessus专家免费7天。

买站得住脚的Nessus专家

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

选择您的许可

买一个多年的执照和存更多的钱。

添加的支持和培训

现在购买
更新现有的许可证|找一个经销商|请求报价
Baidu
map