Vulnerabilidad en Zendesk (CVE-2024-49193)

Gravedad:

Pendiente de análisis

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/10/2024

Última modificación:

12/10/2024

Descripción

Zendesk anterior al 2 de julio de 2024 permite a atacantes remotos leer el historial de tickets a través de suplantación de correo electrónico, porque los campos Cc se extraen de los mensajes de correo electrónico entrantes y se utilizan para otorgar autorización adicional para la visualización de tickets, el mecanismo para detectar mensajes de correo electrónico falsificados es insuficiente y las direcciones de correo electrónico de soporte asociadas con tickets individuales son predecibles.

Impacto

Referencias a soluciones, herramientas e información

https://gist.github.com/hackermondev/68ec8ed145fcee49d2f5e2b9d2cf2e52
https://news.ycombinator.com/item?id=41818459
https://x.com/hackermondev/status/1844877950698537323