提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

一名网络安全研究人员在Wodify的健身房管理web应用程序中发现了几个新漏洞，使攻击者能够提取训练数据，个人信息，甚至财务信息。

Wodify的健身房管理web应用程序在美国和其他国家的CrossFit健身箱中广泛使用，以帮助其发展。该软件目前在5000多家健身房使用，用于课程安排和计费。

但Bishop Fox的高级安全顾问Dardan Prebreza在一份报告中解释说，一系列漏洞“允许读取和修改Wodify平台所有用户的训练计划。”

通过攻击，Prebreza补充说，access“不限于单个健身房/包厢/租户，因此可以全局枚举所有条目并修改它们。”他指出，攻击者可以通过敏感信息泄露漏洞劫持用户会话、窃取散列密码或用户JWT，这三个漏洞的组合可能会给Wodify带来严重的业务和声誉风险，因为这将允许经过身份验证的用户修改其所有生产数据，但也会提取敏感的PII，”Prebreza说。

“此外，泄露管理健身房用户帐户可能会允许攻击者修改付款设置，从而产生直接的财务影响，因为攻击者最终可能获得健身房会员而不是合法健身房所有者的付款。经过身份验证的攻击者可以读取和修改所有其他用户的训练数据，提取PII，“Prebreza将脆弱性风险级别定为高，因为这可能会对Wodify健身房和盒子造成严重的声誉损害和财务影响，而这些健身房和盒子的支付设置可能会被篡改。

Wodify没有对ZDNet的建议作出回应请求对漏洞发表评论。

Prebreza的报告包括一个时间表，显示漏洞是在2月12日联系Wodify之前于1月7日发现的。Wodify于2月23日确认了漏洞，但没有对进一步的信息请求作出回应。

Wodify首席执行官Ameet Shah他联系了Bishop Fox团队，并将其与Wodify的技术负责人联系起来。Wodify在整个4月份都与该公司举行了会议，以解决这些问题。

4月19日，Wodify确认这些漏洞将在90天内修复，但此后，他一再推迟问题的修补日期。首先，该公司承诺在5月发布一个补丁，但他们将其推到6月11日，然后再推到6月26日。

沃迪菲又一个月没有回复Bishop Fox，承认他们将把补丁推到8月5日。

自从漏洞被发现以来，已经过去了半年多的时间，Fox主教说，他们告诉Wodify，他们将于8月6日公开披露漏洞，最终于8月13日发布报告。

Wodify尚未确认是否确实存在补丁，Bishop Fox敦促客户与该公司联系。

“Wodify应用程序受到授权控制不足的影响，使得经过身份验证的攻击者能够在Wodify平台上披露和修改任何其他用户的训练数据，“Prebreza解释道。

”报告中的数据修改示例是在征得合作者同意的情况下执行的，并且在屏幕截图后删除了概念验证有效负载。但是，修改数据的能力意味着攻击者可以修改所有训练结果并插入恶意代码来攻击其他Wodify用户，包括实例或健身房管理员。”

漏洞包括授权控制不足、敏感信息泄露和存储的跨站点脚本、，根据该研究，这可能会被用于其他攻击。

虽然攻击者能够更改Wodify用户的所有训练数据、个人资料图片和姓名，但该攻击还允许插入恶意代码，这些代码可能会攻击其他Wodify用户，包括健身房管理员。

Prebreza说Wodify应用程序易受四个存储跨站点脚本实例的攻击，其中之一是“允许攻击者将恶意JavaScript有效载荷插入训练结果。”

“任何使用存储的有效载荷查看页面的用户都会执行JavaScript并代表攻击者执行操作。如果攻击者以这种方式获得对特定健身房的管理权限，他们将能够更改付款设置，以及访问和更新其他用户的个人信息，”Prebreza指出。

“或者，攻击者可以设计一个负载来加载外部JavaScript文件，以代表用户执行操作。例如，有效负载可以更改受害者的电子邮件，并通过发出密码重置来接管帐户（注意：更改电子邮件地址不需要提供当前密码）。攻击者同样可以利用敏感信息泄露漏洞检索受害者的哈希密码或JWT（即会话令牌）。“

Erich Kron，KnowBe4的安全意识倡导者，说这是一个不幸的案例，一个组织没有认真对待漏洞披露。

“虽然最初只是想删除某人的训练历史对许多人来说似乎无关紧要，但事实是攻击者可以访问帐户和相关信息，可能包括付款方式和个人信息，“这是一个真正的问题，”Kron说，“如果错误的人使用锻炼信息来寻找模式，例如某个组织的首席执行官通常锻炼的天数和时间，并将其用于恶意目的，那么即使是锻炼信息也是敏感的。创建软件的组织应该有一个处理报告的漏洞的流程，必须认真对待。“

＜P＞40%的Office没有首席数据官：调查

< P>研究人员发现针对苹果和苹果产品的新的AdSoad恶意软件运动[P/P>P ] >飞利浦研究发现医院管理数以千计的物联网设备

< P >康奈尔大学研究人员发现“码毒攻击”< /P> < P>注册后，您同意使用条款并确认隐私政策中概述的数据实践。

您还将免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS公司系列的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:41