Súlyos hibák az Intel weboldalain

August 19, 2025 Yanac bug bounty, Intel, Sérülékenység

Egy biztonsági kutató négy különböző Intel belső weboldalon azonosított súlyos sebezhetőségeket, amelyek lehetővé tették több mint 270 ezer Intel-alkalmazott adatainak letöltését, illetve admin jogosultságok megszerzését. A sebezhetőségek közös jellemzője volt a gyenge vagy nem létező hitelesítés, valamint a kliensoldali, könnyen visszafejthető, beépített hitelesítő adatok (jelszavak, tokenek) használata. A legsúlyosabb problémák között szerepelt, hogy az egyik API-n keresztül egyetlen lekéréssel közel 1 GB-nyi alkalmazotti adat volt kinyerhető, míg más rendszerekben egyszerű JavaScript-módosítással megkerülhető volt az SSO-hitelesítés.

A sebezhető rendszerek a következők voltak: egy névjegykártya-rendelő weboldal, a „Hierarchy Management” és a „Product Onboarding” weboldalak, valamint az SEIMS beszállítói portál. Minden esetben közös volt, hogy hozzáférést lehetett szerezni az Intel belső alkalmazotti adatbázisához, illetve a SEIMS esetén bizalmas szállítói információkhoz is. A kutató az összes felfedezést jelentette az Intelnek, ám csak automatikus visszaigazolást kapott, és nem részesült jutalomban, mivel az ilyen típusú sérülékenységek az Intel bug bounty programja szerint nem esnek díjazás alá. A hibákat azóta az Intel kijavította.

(forrás)