CRITICAL🇬🇧 English

CVE-2023-38053

BOLA w Easy!Appointments — nieautoryzowany dostęp do ustawień użytkowników

CVSS 9.9v3.1pub. 2024-07-09upd. 2024-11-21

Podatność typu BOLA (Broken Object Level Authorization) w aplikacji Easy!Appointments umożliwia nisko uprzywilejowanemu użytkownikowi odczyt, modyfikację lub usunięcie ustawień dowolnego konta, w tym konta administratora. Stanowi to poważne zagrożenie dla integralności i poufności danych całej aplikacji.

Pokaż oryginał (EN)

A BOLA vulnerability in GET, PUT, DELETE /settings/{settingName} allows a low privileged user to fetch, modify or delete the settings of any user (including admin). This results in unauthorized access and unauthorized data manipulation.

🤖 Analiza AI
Jak działa

Podatność dotyczy endpointów API: GET, PUT oraz DELETE /settings/{settingName}, gdzie parametr {settingName} identyfikuje ustawienia konkretnego użytkownika. Aplikacja nie weryfikuje prawidłowo, czy zalogowany użytkownik ma prawo dostępu do zasobu wskazanego w żądaniu. Dzięki temu atakujący posiadający konto z niskimi uprawnieniami może dowolnie manipulować identyfikatorem zasobu i uzyskiwać dostęp do ustawień innych kont, w tym konta administratora.

Skutki

Atakujący może odczytać, zmodyfikować lub usunąć ustawienia dowolnego użytkownika systemu, w tym administratora, co prowadzi do nieautoryzowanego dostępu do danych oraz nieautoryzowanej manipulacji konfiguracją aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu pod adresem https://github.com/alextselegidis/easyappointments w celu uzyskania informacji o dostępnych aktualizacjach.

Kogo dotyczy

Aplikacja Easy!Appointments (alextselegidis/easyappointments) — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Easyappointments

    APP
    Easyappointments
    < 1.5.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-57602CRITICAL9.8PL ✓ten sam produkt

EasyAppointments v.1.5.0 — privilege escalation przez index.php

CVE-2023-38050CRITICAL9.1PL ✓ten sam produkt

BOLA w EasyAppointments — nieautoryzowany dostęp do webhooków innych użytkowników

CVE-2023-38048CRITICAL9.9PL ✓ten sam produkt

BOLA w Easy!Appointments — nieautoryzowany dostęp do kont dostawców

CVE-2023-3287CRITICAL9.9PL ✓ten sam produkt

BOLA w Easy!Appointments — privilege escalation do administratora

CVE-2023-38049CRITICAL9.9PL ✓ten sam produkt

BOLA w EasyAppointments — nieuprawniony dostęp do wizyt innych użytkowników