協作通訊平台 Slack 被發現重大漏洞,可能導致大量帳號遭盜
- 發布單位:TWCERT/CC
- 更新日期:2020-05-20
- 點閱次數:4895
獨立資安研究人員 Evan Custodio 在資安通報平台 Hackerone 上,發表一個 Slack 的嚴重漏洞;該漏洞可能導致大量用戶資料外洩,甚至帳號被駭侵者盜走。
Custodio 在漏洞報告中指出,這個漏洞是利用所謂「HTTP 請求走私」,駭侵者可利用這個漏洞進行以 CL.TE 為基礎的封包挾持,並且竊得用戶階段的私密 cookie;受害者的 Slack 通訊將會被重新導向到駭侵者指定的 client。
透過這種攻擊手法,駭侵者即可取得 Slack 受害用戶的各種資料,並透過自動化的方式,大量取得眾多 Slack 用戶的帳號存取權,是非常嚴重的漏洞。
這個漏洞的 CVSS 危險程度評分高度 9.3 分。
該漏洞是在去年11月就透過 Hackerone 平台提報給 Slack,Slack 也很快的在 24 小時內修補該漏洞;漏洞相關情報在近日才予以公開。
- 影響產品:Slack