CDSL Ventures网站报告的漏洞;现在解决:MoS金融

新德里:上报告了一个漏洞CDSL合资企业印度财政部长潘卡吉·乔杜里在接受路透社采访时表示，该网站显示，通过更改用户的参考ID，可以获得另一名用户的详细信息人民院周一。部长说现在漏洞已经被关闭了。

“没有任何应用程序编程接口(api)和/或网站的授权漏洞报告中央存管服务有限公司（CDSL)．然而，CDSL风险投资有限公司(CVL)的网站存在漏洞，该公司是CDSL的子公司，注册为KYC注册机构(KRA)和SEBI，被报道了，”乔杜里在书面回复中说。

他是在回答人民院议员Manish Tewari关于系统脆弱性的问题。

网络安全公司CyberX9报告称，CDSL风险投资有限公司(CVL)的一个漏洞在10天内两次暴露了超过4000万印度投资者的个人和财务数据。

Chaudhary说，国家关键信息基础设施保护中心(NCIIPC) 10月20日报告称，CVL的门户网站容易受到不安全的直接对象引用的攻击。

该部长表示，在CVL的登录页面上观察到该漏洞，显示有可能通过更改用户的参考ID来访问另一个用户的详细信息。

“该问题涉及CVL网站的一个特定页面，与任何api无关。CVL于2021年10月26日通过加密参考ID来快速修复该漏洞，该ID以明文形式传递，”乔杜里说。

他补充说，CVL于10月31日收到了第二次漏洞警报，由于CVL已经在进行永久性修复的开发，该漏洞在同一天得到缓解，并向印度计算机应急响应小组(CERT-In)确认。

他说:“法庭也按照印度证券交易委员会(SEBI)。CVL的外部审计人员也检查并证明报告的漏洞已经关闭。”Chaudhary说。