Selon ian.sh (Ian Carroll), dans un billet publié le 22/10/2025, des chercheurs (Ian Carroll, Gal Nagli, Sam Curry) ont identifié une faille critique sur le portail de « Driver Categorisation » de la FIA lié aux événements de Formule 1.

— Découverte et vecteur d’attaque — Les chercheurs ont exploité une vulnérabilité de mass assignment / contrôle d’accès insuffisant sur l’API (requête HTTP PUT vers « /api/users/{id} »), où le champ JSON roles était accepté côté serveur. En injectant { "roles": [{ "id": 1, "name": "ADMIN" }] }, ils ont pu s’assigner le rôle ADMIN, puis, après réauthentification, accéder au tableau de bord d’administration.

— Impact constaté — Avec les droits administrateur, ils ont pu consulter des données personnelles (PII) de pilotes (email, téléphone, documents d’identité, CV), des hashs de mots de passe, ainsi que des communications internes (commentaires de catégorisation et décisions de comité). Ils indiquent avoir cessé les tests après avoir constaté l’accès potentiel aux documents d’un pilote F1 de premier plan, et avoir supprimé les données consultées.

— Systèmes/produits concernés — • Portail FIA Driver Categorisation (inscriptions publiques, gestion des statuts Bronze/Silver/Gold/Platinum).

— Chronologie de divulgation — • 06/03/2025 : Divulgation initiale à la FIA (email/LinkedIn), site mis hors ligne le jour même. • 06/10/2025 : Réponse officielle de la FIA annonçant un correctif complet. • 22/10/2025 : Publication du billet et divulgation publique.

— TTPs et artefacts — • TTPs: Mass assignment via champ JSON non filtré, élévation de privilèges à ADMIN, accès non autorisé à des PII et hashs. • Endpoint clé: PUT /api/users/{id} avec le paramètre roles accepté côté serveur. • IOCs: Aucun indicateur technique (IP, domaines malveillants, hashes) n’est fourni.

Article de type divulgation technique visant à documenter une vulnérabilité critique et sa remédiation par la FIA.

🔗 Source originale : https://ian.sh/fia

🖴 Archive : https://web.archive.org/web/20251023064835/https://ian.sh/fia