Gesloten cyclus: Waarneming → Onderzoek → Evaluatie → Feedback Pentest + Red Teaming (risicogebaseerd) CTEM + AEV voor continu valideren
Eerste lijn in control • NCSC aligned • Traceability
Publiek EUVD item

EUVD-2026-5713

CVSS: 9.3 EPSS: 0.2 CVSS v4.0

Publicatie: 2026-02-08 · Update: 2026-02-08

Samenvatting

macrozheng mall versie 1.0.3 en ouder bevat een authenticatie kwetsbaarheid in de mall-portal wachtwoord reset workflow die een niet-geauthenticeerde aanvaller in staat stelt om willekeurige wachtwoorden van gebruikersaccounts te resetten met alleen het telefoonnummer van een slachtoffer. De wachtwoord reset-flow geeft het eenmalige wachtwoord (OTP) direct in de API-respons weer en valideert wachtwoord reset-verzoeken alleen door de verstrekte OTP te vergelijken met een waarde die is opgeslagen per telefoonnummer, zonder de identiteit van de gebruiker of het eigendom van het telefoonnummer te verifiëren. Dit maakt accountovername op afstand mogelijk van elke gebruiker met een bekend of te raden telefoonnummer.

Wat betekent dit praktisch?

  • Gebruik dit als externe signalering, niet als automatisch bewijs van impact op jouw omgeving.
  • Als je dit item intern wilt triagen: noteer versies, exposure (internet/intern) en exploit-signalering.
  • In HackSec kun je dit koppelen aan stack-profielen en alert policies (achter login).
Terug Inloggen