CRITICAL🇬🇧 English

CVE-2023-38051

BOLA w Easy!Appointments — nieuprawniony dostęp do danych sekretarek

CVSS 9.9v3.1pub. 2024-07-09upd. 2024-11-21

Podatność typu BOLA (Broken Object Level Authorization) w aplikacji Easy!Appointments umożliwia nisko uprzywilejowanemu użytkownikowi nieautoryzowany dostęp do danych innych użytkowników z rolą sekretarki. Ze względu na wysoki wynik CVSS 9.9 i zakres wykraczający poza kontekst atakującego, stanowi poważne zagrożenie dla integralności i poufności danych.

Pokaż oryginał (EN)

A BOLA vulnerability in GET, PUT, DELETE /secretaries/{secretaryId} allows a low privileged user to fetch, modify or delete a low privileged user (secretary). This results in unauthorized access and unauthorized data manipulation.

🤖 Analiza AI
Jak działa

Atakujący posiadający konto z niskim poziomem uprawnień może wysyłać żądania HTTP (GET, PUT, DELETE) do endpointów /secretaries/{secretaryId}, podając w ścieżce identyfikator innego użytkownika. Aplikacja nie weryfikuje prawidłowo, czy żądający użytkownik ma prawo dostępu do wskazanego zasobu, akceptując żądania dotyczące cudzych kont. Pozwala to na odczyt, modyfikację lub usunięcie danych dowolnego użytkownika z rolą sekretarki.

Skutki

Atakujący może uzyskać nieuprawniony dostęp do danych osobowych innych użytkowników, zmodyfikować ich dane lub całkowicie usunąć ich konta, co prowadzi do naruszenia poufności i integralności danych przechowywanych w systemie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://github.com/alextselegidis/easyappointments). Dodatkowo zaleca się weryfikację, czy mechanizmy kontroli dostępu na poziomie obiektów zostały poprawnie zaimplementowane dla wszystkich endpointów API.

Kogo dotyczy

Aplikacja Easy!Appointments (produkt Easyappointments); konkretne wersje podatne wskazane są w referencjach producenta na GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Easyappointments

    APP
    Easyappointments
    < 1.5.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-57602CRITICAL9.8PL ✓ten sam produkt

EasyAppointments v.1.5.0 — privilege escalation przez index.php

CVE-2023-38050CRITICAL9.1PL ✓ten sam produkt

BOLA w EasyAppointments — nieautoryzowany dostęp do webhooków innych użytkowników

CVE-2023-38048CRITICAL9.9PL ✓ten sam produkt

BOLA w Easy!Appointments — nieautoryzowany dostęp do kont dostawców

CVE-2023-3287CRITICAL9.9PL ✓ten sam produkt

BOLA w Easy!Appointments — privilege escalation do administratora

CVE-2023-38049CRITICAL9.9PL ✓ten sam produkt

BOLA w EasyAppointments — nieuprawniony dostęp do wizyt innych użytkowników

CVE-2023-38051 — BOLA w Easy!Appointments — nieuprawniony dostęp do danych sekretarek — CRITICAL 9.9 | CVEbaza.pl