概要: 認証不要の管理ダッシュボードが /admin_index.php で公開されています。アクセス先: https://host/hashtech-local/admin_index.php 再現手順: 1. ブラウザを開き、以下のURLに移動する: https://host/hashtech-local/admin_index.php 2. ログインを要求されることなく管理インターフェースが読み込まれることを確認する。 製品ベンダー情報: henzljw (GitHubアカウント) 影響を受ける製品/コードベース情報: 製品名: hashtech バージョン: 初回コミット (BETA) - 2021年3月2日 (Gitコミット 5919dec、2021年7月時点で最新) 影響: ガジェット管理への完全アクセス(製品の新規作成/修正/削除、価格および説明の変更)。 注文へのアクセス(注文詳細の閲覧、注文ステータスの変更、注文の返金/キャンセル)。 決済メタデータおよびワークフローへのアクセス(決済関連情報の閲覧;任意の管理用決済ワークフローを操作可能)。 ユーザーアカウントへのアクセス(ユーザーの個人情報(PII)の閲覧、アカウント設定のリセット/変更、ユーザーロールの変更)。 ダッシュボードで公開されているその他の管理アクションの実行(コンテンツ管理、サイト設定の変更、ファイルのアップロードの可能性など)。 結果として、データ漏洩(顧客データ、注文情報)、詐欺的な取引または返金、製品カタログの改ざんなどが発生する可能性がある。 影響を受けるプロジェクト: GitHubリポジトリ: https://github.com/henzljw/hashtech 推奨事項: 全管理ページの上部に、集中化されたサーバーサイドの認証ガードを追加する。 管理用ログインのセキュリティ強化を行う。 多層防御(Depth-in-depth)の観点から、管理エンドポイントに対してWebサーバーレベルの保護を適用する。 すべての管理ページを監査する。 発見者: Team DisclosureX