研究人员报告了Zendesk分析服务中的关键SQLi和Access缺陷

网络安全研究人员披露了Zendesk Explore中现已修补的漏洞的细节，攻击者可能利用这些漏洞从已启用该功能的客户帐户获取未经授权的信息。

Varonis在与《黑客新闻》分享的一份报告中表示：“在修补之前，该漏洞将允许威胁参与者访问启用了Explore的Zendesk账户中的对话、电子邮件地址、罚单、评论和其他信息”。

这家网络安全公司表示，没有证据表明这些问题在现实世界的攻击中被积极利用。客户无需采取任何行动。

Zendesk Explore是一种报告和分析解决方案，允许组织“查看和分析有关客户和支持资源的关键信息”。

根据安全软件公司的说法，利用该漏洞首先需要攻击者以新的外部用户身份注册其受害者Zendesk帐户的票务服务，这一功能可能在默认情况下启用，以允许最终用户提交支持票。

该漏洞与GraphQL API中的SQL注入有关，该注入可能被滥用，以管理员身份过滤数据库中存储的所有信息，包括电子邮件地址、票证和与实时代理的对话。

第二个缺陷涉及与查询执行API相关的逻辑访问问题，该API被配置为在不检查进行调用的“用户”是否具有足够的权限的情况下运行查询。

“这意味着新创建的最终用户可以调用此API，更改查询，并从目标Zendesk帐户的RDS中的任何表中窃取数据，无需SQLi”。

Varonis表示，这些问题已于8月30日向Zendesk披露，随后该公司于2022年9月8日纠正了缺陷。