Business Logic Flaw Allows Attackers to Block User Registrations via Email Invite Manipulation

Penjelasan Singkat: Celah ini terjadi karena masalah pada penanganan database yang tidak tepat. Ketika undangan email dihapus, email tetap tersimpan dan dianggap “sudah terpakai”, meskipun target belum mendaftar. Hal ini menyebabkan pengguna baru tidak bisa mendaftar dengan email yang sama.

Cara Serangan:

1. Penyerang mengundang email target.

2. Penyerang menghapus undangan sebelum target mendaftar.

3. Target mencoba mendaftar, tapi sistem menolak karena email sudah terpakai.

Kenapa Terjadi? Ini terjadi karena email yang sudah diundang tetap disimpan dalam database dan dianggap “terpakai” meski undangannya sudah dibatalkan.