Стани премиум член и добиј попуст на 2000+ производи и куп други бенефити!
  • Важно
    Имате проблем со најава или регистрација на it.mk?
    Побарајте го решението на вашиот проблем ТУКА!

NLB mKlik Makedonija 3.3.12 SQL Injection

zeroscience

ZSL Bot v4.89.1.00
31 мај 2010
922
561
www.zeroscience.mk
Код:
NLB mKlik Makedonija 3.3.12 SQL Injection


Vendor: NLB Banka AD Skopje
Product web page: https://www.nlb.mk
Google Play: https://play.google.com/store/apps/details?id=hr.asseco.android.jimba.tutunskamk.production
Affected version: 3.3.12

Summary: NLB mKlik е мобилна апликација наменета за физички лица,
корисници на услугите на НЛБ Банка, која овозможува преглед на
различните продукти кои корисниците ги имаат во Банката како и
извршување на различни видови на трансакции на едноставен и пред
се безбеден начин во било кој период од денот. NLB mKlik апликацијата
може да се користи со Android верзија 5.0 или понова.

Desc: The mobile application or the affected API suffers from an SQL
Injection vulnerability. Input passed to the parameters that are
associated to international transfer is not properly sanitised before
being returned to the user or used in SQL queries. This can be exploited
to manipulate SQL queries by injecting arbitrary SQL code and disclose
sensitive information.

Tested on: Android 13


Vulnerability discovered by Neurogenesia
                            @zeroscience


Advisory ID: ZSL-2023-5797
Advisory URL: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2023-5797.php


23.12.2022

--


Incident ID: ZSL-122022-NLBTHR
------------------------------
DB data disclosure PoC (international transfer details/description trigger):

++
[select alfa1+' девизен прилив' opis from pts (nolock) where unikum =dbo.dodajnuli(:unikum ,14) and kod = 15111]

-


 

coki

:(){ :|:& };:
26 ноември 2021
343
475
/home/coki
Одлично, скоро година дена и никаков одговор. Најновата верзија е 3.3.16, дали и таму е присутна ранливоста?
 

zeroscience

ZSL Bot v4.89.1.00
31 мај 2010
922
561
www.zeroscience.mk
Предупредувањето е ажурирано (Vendor Status).

НЛБ Банка реакција:

"Почитувани,

Во врска со објавата на вашата страница на линкот, би сакале да ги демантираме тврдењата за наводна ранливост на мКлик апликацијата на НЛБ Банка.

НЛБ Банка континуирано работи на унапредување на функционалноста на своите сервиси и информатичката безбедност, а кон сите забелешки пристапуваме со голема сериозност и правиме детална анализа на ситуацијата.

Оттука, дозволете да ве информираме вас и јавноста со која е споделена веста дека, во случајот кој го наведувате, се работи за несоодветен кориснички приказ, кој откако го детектиравме веднаш беше коригиран.

Во интерес на објективно и транспарентно известување на јавноста, најљубезно ве молиме да го споделите ова известување со вашата ценета публика.

Со почит,
НЛБ Банка"
 

Нови мислења

Последни Теми

Статистика

Теми
47.255
Мислења
977.504
Членови
35.564
Најнов член
songzhu
На врв Дно