Exposure of Private Personal Information to an Unauthorized Actor

CWE 359

Vom 18. Mai 2020

Eingestuft als unkritisch

Beschreibung der Entdeckung: Ein potenziell kompromittierter Nutzer einer geschlossen Organisation, kann √ľber Development-Tools des Browsers den Client Key und die Device ID abrufen. Dar√ľber k√∂nnte arglistig die jeweilige URL mit ge√§nderten Parametern abgerufen werden und damit eine Listung der Nutzer der eignen verbundenen Organisation aufgerufen werden.

 

Beurteilung Hersteller: Dieses Vorgehen beurteilt der Hersteller tendenziell als unkritisch, da die Informationsausgabe eingeschr√§nkt ist und f√ľr die √ľbermittelten Daten der API eine Notwendigkeit besteht. Bei dem Datenumfang der API handelt es sich um den zwingend notwendigen Informationsgehalt welcher behalten werden muss, damit die Clients funktionsf√§hig bleiben. Die API gibt ausschlie√ülich die Informationen aus, die ein Nutzer aufgrund seiner jeweiligen zugeteilten Rolle und dazugeh√∂rigen Rechten innerhalb seiner eigenen Organisation(en) erhalten darf. Dar√ľber hinaus werden keine Daten ausgegeben.