Podatność typu BOLA (Broken Object Level Authorization) w aplikacji Easy!Appointments umożliwia nisko uprzywilejowanemu użytkownikowi nieautoryzowany dostęp do danych innych użytkowników z rolą sekretarki. Ze względu na wysoki wynik CVSS 9.9 i zakres wykraczający poza kontekst atakującego, stanowi poważne zagrożenie dla integralności i poufności danych.
▸ Pokaż oryginał (EN)
A BOLA vulnerability in GET, PUT, DELETE /secretaries/{secretaryId} allows a low privileged user to fetch, modify or delete a low privileged user (secretary). This results in unauthorized access and unauthorized data manipulation.
Atakujący posiadający konto z niskim poziomem uprawnień może wysyłać żądania HTTP (GET, PUT, DELETE) do endpointów /secretaries/{secretaryId}, podając w ścieżce identyfikator innego użytkownika. Aplikacja nie weryfikuje prawidłowo, czy żądający użytkownik ma prawo dostępu do wskazanego zasobu, akceptując żądania dotyczące cudzych kont. Pozwala to na odczyt, modyfikację lub usunięcie danych dowolnego użytkownika z rolą sekretarki.
Atakujący może uzyskać nieuprawniony dostęp do danych osobowych innych użytkowników, zmodyfikować ich dane lub całkowicie usunąć ich konta, co prowadzi do naruszenia poufności i integralności danych przechowywanych w systemie.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://github.com/alextselegidis/easyappointments). Dodatkowo zaleca się weryfikację, czy mechanizmy kontroli dostępu na poziomie obiektów zostały poprawnie zaimplementowane dla wszystkich endpointów API.
Aplikacja Easy!Appointments (produkt Easyappointments); konkretne wersje podatne wskazane są w referencjach producenta na GitHub.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HEasyappointments
APPEasyappointments< 1.5.0
Powiązane podatności
EasyAppointments v.1.5.0 — privilege escalation przez index.php
BOLA w EasyAppointments — nieautoryzowany dostęp do webhooków innych użytkowników
BOLA w Easy!Appointments — nieautoryzowany dostęp do kont dostawców
BOLA w Easy!Appointments — privilege escalation do administratora
BOLA w EasyAppointments — nieuprawniony dostęp do wizyt innych użytkowników