Telah ditemukan kerentanan vertical privilege escalation pada alur pembuatan pengguna baru. Dalam antarmuka "Tambah Pengguna", penentuan peran (role) pengguna baru dikendalikan di sisi klien. Namun, dengan memanfaatkan alat seperti developer tools di browser atau proxy seperti Burp Suite, seorang penyerang dapat mencegat dan memodifikasi permintaan API untuk mengubah parameter role menjadi admin atau peran istimewa lainnya.
Masalah utamanya adalah server tidak melakukan validasi atau otorisasi yang memadai terhadap parameter role ini. Akibatnya, siapa pun yang telah terautentikasi dapat membuat akun baru dengan hak istimewa tinggi. Hal ini membuka celah bagi penyerang untuk mendapatkan akses administratif tanpa izin, yang berpotensi membahayakan integritas dan kerahasiaan seluruh ruang kerja (workspace).
langkah-langkah untuk mendapatkan privilage escalation
- Navigasikan ke halaman yang memungkinkan penambahan pengguna baru di workspace.
- Tambahkan pengguna baru dan isi informasi yang diperlukan sesuai kebutuhan.
- Tangkap (capture) permintaan penambahan pengguna menggunakan Burp Suite, lalu perhatikan bagian "role" pada payload permintaan tersebut.
POST /create_user HTTP/2
Cookie: [your-credential]
{"firstName":"tester","lastName":"tester","email":"[your-email]","role":"VIEWER"}4. lalu ubah pada string role menjadi "ADMIN" dan forward
POST /create_user HTTP/2
Cookie: [your-credential]
{"firstName":"tester","lastName":"tester","email":"[your-email]","role":"ADMIN"}5. lihat response pada pengiriman ini, jika status pengiriman "201 Created" maka user baru yang mempunya role admin berhasil di tambahkan
dampak dari privilage escalation
user baru yang di undang masuk ke dalam workspace akan mendapatkan role menjadi admin sehingga user baru bisa mengedit, menghapus informasi dan bisa saja user baru mengambil semua aset atau uang pada workspace tersebut, sehingga dampak ini bisa saja menjadi critical.
Kerentanan ini menunjukkan kegagalan validasi otorisasi di sisi server, yang memungkinkan pengguna biasa untuk mendapatkan hak akses administratif hanya dengan memodifikasi permintaan API. Akses admin yang tidak sah dapat digunakan untuk mengambil alih seluruh workspace, mengubah data sensitif, serta mengelola pengguna lain — menjadikannya sebagai celah keamanan yang berdampak tinggi dan harus segera ditangani.
tetapi laporan ini dinyatakan sebagai duplikat oleh analyst hackerone. walaupun laporan ini di nyatakan duplikat, saya mendapatkan pengalaman baru mengenai privilage escalation.