Bug de seguridad en formulario datos-personales a través del parámetro POST

[marloru]

Buenos días, 

nos están haciendo una auditoría de seguridad en una tienda Prestashop versión 1.7.8 y han encontrado la siguiente vulnerabilidad:

Creamos dos cuentas en iniciar-sesión para simular

• una víctima ([email protected])
• y un atacante (pocrepro-ywh-c9b2c867fbaa8665@ yeswehack.ninja).

Hacemos login y visitamos la página de datos-personales

1. Una vez iniciada sesión en la cuenta del atacante, introducimos los detalles necesarios, como la contraseña, y hacemos clic en "Guardar" mientras Burp's Intercept está habilitado.

2. Buscamos una solicitud POST a /datos-personales  y cambiamos el valor de email a la dirección de correo electrónico de nuestra cuenta víctima. En nuestro caso, la dirección de correo electrónico de nuestra víctima es [email protected]:

Adjunto una captura de pantalla con la solicitud inicial y una captura de pantalla con la solicitud modificada

3. Observa que la dirección de correo electrónico se cambió correctamente y que ya no podemos iniciar sesión en nuestra cuenta de víctima con la contraseña inicial establecida para la cuenta de la víctima. El inicio de sesión exitoso con la dirección de correo electrónico de la víctima contendrá detalles de la cuenta del atacante en lugar de la cuenta de la víctima.

La víctima no podrá acceder a su cuenta en kiehls.pt, cabe señalar que aún es posible recuperar el acceso a las cuentas afectadas después de rectificar la superposición en direcciones de correo electrónico.

 

¿Alguien tendría solución a este problema? Gracias.

Un saludo

capturas de pantallas.docx