Podatność w platformie Restaurant Digital Comprehensive Management firmy Hangzhou Xiongwei Technology pozwala nieuwierzytelnionemu atakującemu na obejście mechanizmów uwierzytelnienia. Umożliwia to dowolne resetowanie haseł użytkowników, co stanowi krytyczne zagrożenie dla bezpieczeństwa systemu.
▸ Pokaż oryginał (EN)
An issue in Hangzhou Xiongwei Technology Development Co., Ltd. Restaurant Digital Comprehensive Management platform v1 allows an attacker to bypass authentication and perform arbitrary password resets.
Błąd (sklasyfikowany jako CWE-620 — Unverified Password Change) polega na nieprawidłowej weryfikacji tożsamości podczas procesu zmiany hasła. Atakujący zdalnie, bez posiadania jakichkolwiek danych uwierzytelniających, jest w stanie wywołać procedurę resetu hasła dla dowolnego konta. Brak odpowiedniej walidacji tożsamości żądającego umożliwia przejęcie kontroli nad kontami użytkowników bez znajomości obecnych haseł.
Atakujący może przejąć kontrolę nad dowolnym kontem w systemie, w tym kontami administracyjnymi, uzyskując tym samym pełen dostęp do platformy zarządzania restauracją. Może to prowadzić do ujawnienia danych, modyfikacji konfiguracji systemu oraz zakłócenia ciągłości działania usługi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu sieciowego do platformy wyłącznie do zaufanych adresów IP oraz wzmożone monitorowanie prób resetowania haseł.
Platforma Restaurant Digital Comprehensive Management firmy Hangzhou Xiongwei Technology Development Co., Ltd. w wersji v1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H