CVE-2025-53640: Enumeração de usuários via endpoint de API

CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-53640

Resumo

Uma vulnerabilidade de Broken Object Level Authorization (BOLA) no Indico permite a enumeração de usuários autenticados por meio do Endpoint/api/principals, expondo nomes, e-mails e afiliações. Inclui script de exploração, análise de requisições e capturas de tela. Afeta instâncias do Indico implantadas globalmente (Organização Europeia para Pesquisa Nuclear (CERN), Nações Unidas (ONU), Instituto de Tecnologia de Massachusetts (MIT), Agência Espacial Europeia (ESA), entre outras).

Detalhes

Uma vulnerabilidade de Broken Object Level Authorization (BOLA) no aplicativo de código aberto Indico permite a enumeração em massa de usuários por meio do endpoint /api/principals.

Originalmente projetado para resolver IDs de usuários em campos específicos de formulário, este endpoint pode ser usado indevidamente para recuperar detalhes pessoais de qualquer ID de usuário válido:

• Nome completo
• Endereço de e-mail
• Cargo
• Afiliação
• URL do Avatar

Requisitos de Exploração

• Um ID de usuário válido É necessária uma sessão autenticada.
• No entanto, a maioria das instâncias públicas do Indico permite o autorregistro sem verificação de e-mail, CAPTCHA ou aprovação manual.
• Isso torna a vulnerabilidade praticamente explorável por usuários não autenticados após a criação de uma conta simples.

PoC

Exploit

1

Script PoC a ser publicado após o cronograma de divulgação responsável.

Impacto Global

O Indico é uma plataforma de gerenciamento de eventos e conferências amplamente adotada, desenvolvida pelo CERN (Organização Europeia para Pesquisa Nuclear), que impulsiona a infraestrutura acadêmica e institucional globalmente:

• CERN (Organização Europeia para Pesquisa Nuclear): Mais de 900.000 eventos anualmente; Mais de 200 salas reservadas diariamente.
• Mundial: Cerca de 145.000 eventos/ano em mais de 300 instituições.
• ONU (Organização das Nações Unidas): Mais de 180.000 participantes/ano.
• UNOG (Escritório das Nações Unidas em Genebra): Até 700.000 usuários/ano.
• Amplamente utilizado por universidades, laboratórios, institutos de pesquisa e agências governamentais.

Exemplos de instâncias públicas afetadas:

• https://indico.cern.ch/
• https://indico.esa.int/
• https://indico.mit.edu/

Devido à sua ampla adoção em ambientes científicos, acadêmicos e governamentais, esta vulnerabilidade apresenta sérios riscos:

• Vazamento de identidade de pesquisadores, funcionários e administradores.
• Violações de privacidade em larga escala e exposição de diretórios institucionais.
• Reconhecimento direcionado para phishing ou engenharia social.
• Possível comprometimento de pesquisas e iniciativas políticas sensíveis.

Impacto

• Divulgação de dados pessoais (PII)
• Enumeração de usuários com privilégios altos (administradores, organizadores)
• Suporta operações de phishing em massa e spear-phishing
• Viola regulamentações como GDPR, LGPD e políticas institucionais internas
• Pode constituir uma violação passível de notificação, dependendo da jurisdição

Referências

https://github.com/CVE-Hunters/CVE/blob/main/Indico/CVE-2025-53640.md

https://github.com/indico/indico/security/advisories/GHSA-q28v-664f-q6wj

Encontrado por:

Rafael Corvino

Colaborador

Natan Maia Morette

Por: CVE-Hunters