Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w aplikacji mobilnej Emaintenance Crazy Bubble Tea i koordynował proces ujawniania informacji.
Podatność CVE-2025-14317: W aplikacji mobilnej Crazy Bubble Tea uwierzytelniony atakujący może uzyskać dane osobowe innych użytkowników poprzez enumerację parametru loyaltyGuestId. Serwer nie weryfikuje uprawnień wymaganych do uzyskania tych danych.
Podatność została naprawiona w wersji 915 (Android) oraz 7.4.1 (iOS).
Podziękowania
Za zgłoszenie podatności dziękujemy Tobiaszowi „Palidon” Kostrzewie.
