按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

協作通訊平台 Slack 被發現重大漏洞,可能導致大量帳號遭盜

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:4805
協作通訊平台 Slack 被發現重大漏洞,可能導致大量帳號遭盜

獨立資安研究人員 Evan Custodio 在資安通報平台 Hackerone 上,發表一個 Slack 的嚴重漏洞;該漏洞可能導致大量用戶資料外洩,甚至帳號被駭侵者盜走。

Custodio 在漏洞報告中指出,這個漏洞是利用所謂「HTTP 請求走私」,駭侵者可利用這個漏洞進行以 CL.TE 為基礎的封包挾持,並且竊得用戶階段的私密 cookie;受害者的 Slack 通訊將會被重新導向到駭侵者指定的 client。

透過這種攻擊手法,駭侵者即可取得 Slack 受害用戶的各種資料,並透過自動化的方式,大量取得眾多 Slack 用戶的帳號存取權,是非常嚴重的漏洞。

這個漏洞的 CVSS 危險程度評分高度 9.3 分。

該漏洞是在去年11月就透過 Hackerone 平台提報給 Slack,Slack 也很快的在 24 小時內修補該漏洞;漏洞相關情報在近日才予以公開。

  • 影響產品:Slack
回頁首