ช่องโหว่ร้ายแรงใน Microsoft Dynamics 365 และ Power Apps Web API 3 รายการที่ถูกพบโดยบริษัท Stratus Security ซึ่งอาจทำให้ข้อมูลถูกเปิดเผยได้รับการแก้ไขแล้ว
ช่องโหว่ 2 ใน 3 จะอยู่ใน OData Web API Filter ของ Power Platform และช่องโหว่ที่ 3 จะอยู่ใน FetchXML API
- ช่องโหว่แรก – การขาดการควบคุมการเข้าถึงบนตัวกรองของ OData Web API ซึ่งทำให้สามารถเข้าถึงตารางรายชื่อติดต่อที่มีข้อมูลที่ละเอียดอ่อน เช่น ชื่อ-นามสกุล หมายเลขโทรศัพท์ ที่อยู่ ข้อมูลทางการเงิน และแฮชรหัสผ่าน
- ช่องโหว่ที่สอง – การใช้คำสั่ง orderby ใน API เดียวกันเพื่อรับข้อมูลจากคอลัมน์ตารางฐานข้อมูลที่จำเป็น เช่น EMailAddress1ซึ่งอ้างอิงถึงที่อยู่อีเมลหลักสำหรับผู้ติดต่อ เพื่อใช้รวบรวมรายการแฮชรหัสผ่านและอีเมลแล้วนำไปใช้ถอดรหัสผ่านหรือขายข้อมูลดังกล่าวได้
- ช่องโหว่ที่สาม – การใช้ FetchXML API ในการสร้างคำสั่ง orderby ในคอลัมน์ใดก็ได้ โดยหลีกเลี่ยงการควบคุมการเข้าถึงที่มีอยู่ได้อย่างสมบูรณ์โดยไม่จำเป็นต้องเรียงลำดับ orderby จากมากไปน้อย
ที่มา : The Hacker News