Un fallo en el control de acceso de la plataforma Easy!Appointments exponía datos personales de los usuarios

La reciente vulnerabilidad ha sido descubierta por Francesco Carlucci. Ha sido nombrada como CVE-2022-0482 y se trata de una vulnerabilidad de control de acceso incorrecto (A01:2021 – Broken Access Control), la cual afecta a la plataforma Easy!Appointment, un programador online para permitir que los clientes pueden reservar citas a una organización.

El software es un sistema de gestión de citas el cual tiene un formulario público para hacer reservas y dispone de una API para gestionar la manipulación de los usuarios, servicios, configuraciones, etc.

La vulnerabilidad se encuentra en la manera en la que esta API verifica la autenticación del usuario que realiza la consulta al endpoint /index.php/backend_api/ajax_get_calendar_events. Este endpoint únicamente requiere de una consulta mediante método POST facilitando varios parámetros:

• csrfToken: Puede ser obtenido por cualquier usuario no autenticado que visite el formulario público, siendo válido para el backend.
• startDate: Fecha de inicio de las reservas.
• endDate: Fecha de fin de reservas.

La vulnerabilidad tiene una puntuación CVSS de 9.1, la cual indicaría un riesgo crítico y afecta tanto a la plataforma como al plugin de WordPress.

El riesgo de esta vulnerabilidad reside en que un atacante malicioso podría obtener información privada (nombre, email, teléfono, dirección, contraseña cifrada, etc.) para todos los clientes que tengan alguna reserva activa en el sistema. Ademas, como el JSON contiene el hash de la cita, el atacante podría modificar o incluso eliminar cualquier cita activa.

La vulnerabilidad ha sido resuelta por la compañía, por lo que se recomienda actualizar a la versión 1.4.3.

Más información:

• https://opencirt.com/hacking/securing-easy-appointments-cve-2022-0482/
• https://portswigger.net/daily-swig/access-control-vulnerability-in-easy-appointments-platform-exposed-sensitive-personal-data
• https://securityaffairs.co/wordpress/130077/security/securing-easy-appointments-cve-2022-0482.html

La entrada Un fallo en el control de acceso de la plataforma Easy!Appointments exponía datos personales de los usuarios se publicó primero en Una al Día.