Investigador destapa dos graves fallos de seguridad en aplicaciones web de Johnson & Johnson

Fuentes: Exploiting vulnerabilities in Johnson & Johnson web apps

Un investigador de seguridad ha hecho públicas dos vulnerabilidades que descubrió en aplicaciones web de Johnson & Johnson: un sistema de reclutamiento universitario que expuso los datos de cerca de mil estudiantes y una plataforma interna de gestión de auditorías con acceso a 13.600 empleados y 20 filiales del grupo. En el primer caso, la integración de Microsoft Authentication Library en el frontend no iba acompañada de una verificación real del token en las API, que se autenticaban mediante una clave hardcodeada en AWS. Tras modificar el código de MSAL para simular un inicio de sesión válido, el investigador accedió a las rutas privadas de reclutadores, incluidos los registros de entrevistas, notas y valoraciones de los candidatos.

La segunda aplicación, el Audit Tracking Management System (ATMS), emplea MSAL para autenticar al usuario y guarda valores en localStorage, pero las API no validan el bearer token. Obteniendo el nombre y el WWID de un administrador desde la página de ayuda y manipulando las llamadas al endpoint getAllUsers, el investigador consiguió una sesión de administrador con la que saltar entre las distintas empresas del grupo.

Ambas incidencias se notificaron en octubre de 2025 a través del programa de reporte de vulnerabilidades de JnJ. La primera se resolvió el 31 de octubre; la segunda permaneció sin corregir hasta abril de 2026, tras seis meses de seguimiento sin respuesta y la mediación de un periodista. El artículo fue publicado el 24 de junio de 2026.