Back
Critical · CVSS 9.6CSRF

[ES] One-Click Account Takeover vía OTP Bypass y CSRF

pyus3r
pyus3r
March 1, 2026
0
€56

Vulnerability Summary

Este writeup detalla una vulnerabilidad crítica de lógica de negocio en el flujo de cambio de correo electrónico de una plataforma. Mediante la combinación de un OTP Bypass y un CSRF, fue posible reemplazar el correo de cualquier usuario de forma arbitraria con un solo clic, logrando así un Account Takeover (ATO) completo.

Nota: Todos los datos que expongan la identidad real de la empresa o los endpoints han sido sustituidos por entornos y valores ficticios (api.example.com) para proteger la confidencialidad.

Este writeup detalla una vulnerabilidad crítica de lógica de negocio en el flujo de cambio de correo electrónico de una plataforma. Mediante la combinación de un OTP Bypass y un CSRF, fue posible reemplazar el correo de cualquier usuario de forma arbitraria con un solo clic, logrando así un Account Takeover (ATO) completo.

Análisis de la Vulnerabilidad

El fallo residía en cómo el servidor gestionaba la solicitud de cambio de correo electrónico, la cual requería de la validación mediante un código OTP enviado a la nueva dirección. El endpoint responsable era:

https://api.example.com/user/userAction!modifyEmail.action?email=[NUEVO_EMAIL]&checkcode=[OTP]

La explotación fue posible debido a dos deficiencias críticas concurrentes en este endpoint:

  1. Reutilización Global de OTP (OTP Bypass): El servidor verificaba matemáticamente que el código numérico (checkcode) fuera válido para el correo proporcionado (email), pero no validaba a qué sesión de usuario ni a qué funcionalidad pertenecía dicho código. Esto permitía al atacante generar un OTP válido usando un flujo propio y neutral, y consumirlo legítimamente en la sesión de otra cuenta.
  2. Cross-Site Request Forgery (CSRF): El endpoint aceptaba que la acción crítica (cambiar el correo de la cuenta) se realizase a través de una petición HTTP GET pasándole los parámetros en crudo por la URL. Además, carecía de validación de tokens Anti-CSRF o cabeceras (como Origin/Referer) que certificaran la intencionalidad de la víctima.

Flujo de Explotación

La cadena de ataque procedía paso a paso de la siguiente forma:

  1. Captura del OTP: El atacante solicita un código de verificación hacia su propio correo electrónico (atacante@evil.com) desde un panel genérico (como el registro de nueva cuenta), obteniendo un OTP válido enviado a su propia bandeja de entrada (por ejemplo: 123456).
  2. Construcción del Vector CSRF: El atacante elabora su payload armando una URL maliciosa que apunta al endpoint de cambio de correo, inyectando su email y su propio código OTP recién obtenido:

Identification Required

You must be logged in to read this writeup. Join our community of researchers today.

Sign InRegister

Related Writeups

pyus3rpyus3r

[EN] One-Click Account Takeover via OTP Bypass and CSRF

This writeup details a critical business logic vulnerability in the email change flow of a platform. By combining an OTP Bypass and a CSRF, it was possible to arbitrarily replace any user's email address with a single click, resulting in a complete Account Takeover (ATO).

Read Writeup →

Discussion

No comments yet. Be the first to share your thoughts.

Log in to join the discussion.

Sign In