CVE-2023-43900: IDOR en EMSigner expone documentos confidenciales

Resumen

Nombre: Insecure Object Reference Vulnerability in Web Application Document Handling.

Producto: EMSigner
Versiones afectadas: EMSigner v2.8.7
Componentes afectados: EndPoint /Areas/AdhocLogin/GETALLDOCUMENTSWORKDETAILSShareDownload con el parámetro "DocumentId"; y EndPoint /Areas/Share/InternalUserCompletedDownload con el parámetro "ID".
Tipo de ataque: Remoto
Tipo de vulnerabilidad: Control de acceso incorrecto
Impacto: Divulgación de información
CVSSv3.1: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N — Base Score 6.5
CVE: CVE-2023-43900

Descripción

Una vulnerabilidad de Insecure Direct Object References (IDOR) en EMSigner v2.8.7 permite a atacantes obtener acceso no autorizado al contenido de la aplicación y ver datos sensibles de otros usuarios manipulando los parámetros documentID y EncryptedDocumentId.

Vulnerabilidad

La vulnerabilidad se origina en un manejo inseguro de referencias a objetos dentro de la funcionalidad de gestión de documentos. La aplicación permite acceso no autorizado a datos sensibles porque valida y controla de forma inadecuada el acceso a parámetros como "DocumentID" y "EncryptedDocumentId".

Vector de ataque

Se explota mediante IDOR manipulando valores de parámetros, particularmente "documentID" y "EncryptedDocumentId". Un atacante puede acceder al contenido de la aplicación y consultar datos sensibles de otros usuarios.

Explotación

Durante la evaluación de una aplicación web que usaba EMSigner se identificó la siguiente cadena de ataque:

1. Inicio de sesión como usuario de bajos privilegios y apertura de la opción de descarga de documentos.
2. El atacante intercepta la petición https://domain.com/Areas/AdhocLogin/GETALLDOCUMENTSWORKDETAILSShareDownload?WorkFlowID=&DocumentID=19 y nota que el parámetro DocumentId carga números de forma secuencial.
3. Se utiliza Burp Suite Intruder para enviar valores entre 1 y 999 al parámetro DocumentId, enumerando documentos existentes.
4. Se analizan las respuestas del servidor enfocándose en las de mayor tamaño, que exponen los parámetros DocumentName y EncryptedDocumentId — revelando el nombre y el identificador cifrado del documento.
5. Con el valor obtenido, el atacante manipula la petición https://domain.com/Areas/Share/InternalUserCompletedDownload?ID=<EncryptedDocumentId> y descarga documentos subidos por cualquier perfil de la aplicación.

Mitigación

Existe una versión actualizada de EMSigner disponible en el sitio del proveedor.

Crédito

Vulnerabilidad descubierta por Jean Paul Granados (SecPro).

Referencias

Sitio del proveedor: https://www.emsigner.com/

Cronología

• 2023-02-27 — Vulnerabilidad descubierta.
• 2023-05-08 — Proveedor contactado.
• 2023-05-24 — Proveedor confirma el reporte.
• 2023-09-01 — Vulnerabilidad parcheada.
• 2023-10-27 — Divulgación pública.