Exposure of Private Personal Information to an Unauthorized Actor

CWE 359

Vom 18. Mai 2020

Eingestuft als unkritisch

Beschreibung der Entdeckung: Ein potenziell kompromittierter Nutzer einer geschlossen Organisation, kann √ľber Development-Tools des Browsers den Client Key und die Device ID abrufen. Dar√ľber k√∂nnte arglistig die jeweilige URL mit ge√§nderten Parametern abgerufen werden und damit eine Listung der Nutzer der eignen verbundenen Organisation aufgerufen werden.

 

Beurteilung Hersteller: Dieses Vorgehen beurteilt der Hersteller tendenziell als unkritisch, da die Informationsausgabe eingeschr√§nkt ist und f√ľr die √ľbermittelten Daten der API eine Notwendigkeit besteht. Bei dem Datenumfang der API handelt es sich um den zwingend notwendigen Informationsgehalt welcher behalten werden muss, damit die Clients funktionsf√§hig bleiben. Die API gibt ausschlie√ülich die Informationen aus, die ein Nutzer aufgrund seiner jeweiligen zugeteilten Rolle und dazugeh√∂rigen Rechten innerhalb seiner eigenen Organisation(en) erhalten darf. Dar√ľber hinaus werden keine Daten ausgegeben. Um zu verhindern, dass innerhalb der eigenen Organisation E-Mail Adressen arglistig durch organisationszugeh√∂rige Nutzer entwendet werden k√∂nnen, hat der Hersteller bereits einen Umbau vorgenommen und bietet seinen Kunden im Bedarfsfall dieses als Hotfix an.