A identifié un problème de Broken Access Control dans le flux d'invitation qui permettait la manipulation des paramètres d'utilisateur-rôle, entraînant une gestion des invitations perturbée pour les administrateurs d’espace de travail. A découvert un contournement du contrôle d’accès exposant des données d’espaces de travail restreintes aux utilisateurs de niveau membre.

A signalé une vulnérabilité XSS permettant l’exécution arbitraire de scripts via des paramètres d’URL élaborés.

A identifié une faille logique dans le flux de signature de documents permettant la modification non autorisée des permissions du signataire après l'approbation d’un document.

A identifié un problème d’IDOR dans le flux de commentaires basé sur WebSocket qui permettait de publier des commentaires sous l'identité d’un autre utilisateur. A identifié un problème d’IDOR dans le système de commentaires permettant la suppression non autorisée de commentaires d’un autre utilisateur.

A signalé une faille de contrôle d’accès côté serveur permettant aux membres de récupérer les URL d’images de signature depuis des documents protégés par mot de passe via une requête GraphQL exposée.

A signalé un problème de logique métier dans les flux de propriété d’espace de travail et de gestion des utilisateurs, permettant à des utilisateurs de rejoindre à nouveau un espace sous une condition empêchant le véritable propriétaire de les supprimer.

A identifié une faiblesse dans la gestion de l’état OAuth permettant à des attaquants de forcer l’intégration du compte d’une victime avec un espace de travail Slack contrôlé par l’attaquant.

A identifié que des jetons d’accès aux documents étaient accessibles publiquement et pouvaient être utilisés pour consulter les documents et les informations associées aux utilisateurs sans authentification.

A identifié un problème de gestion des clés API permettant à d’anciens administrateurs de conserver et d’utiliser les clés API au niveau organisation après avoir été retirés de l’espace de travail.