Mass Assignment Vulnerability Exposes Max Verstappen Passport and F1 Drivers PII
7 months ago
- #Vulnerability
- #Cybersecurity
- #Formula1
- 网络安全初创公司及企业(如CrowdStrike、Darktrace、Bitdefender)是F1赛事的主要赞助商
- 研究人员在国际汽联车手分级门户中发现F1相关支持网站的漏洞
- F1车手需持有国际汽联超级驾照,其分级(铜/银/金/白金)通过该门户管理
- 该门户存在权限提升漏洞,仅需发送HTTP PUT请求即可篡改用户角色
- 研究人员通过篡改JSON响应中的'roles'参数获取了门户管理员权限
- 管理员权限可查看F1车手敏感信息(个人身份数据、护照信息、简历)及国际汽联内部通讯
- 漏洞已通过合规渠道披露,国际汽联迅速修复并暂时关闭了该网站