CRITICAL🇬🇧 English

CVE-2024-37768

Nieautoryzowane usuwanie użytkowników w 14Finger v1.1

CVSS 9.1v3.1pub. 2024-07-05upd. 2025-03-13

W aplikacji 14Finger w wersji 1.1 odkryto podatność umożliwiającą dowolnemu nieuwierzytelnionemu atakującemu usunięcie kont użytkowników poprzez endpoint API. Podatność posiada krytyczny wynik CVSS 9.1 ze względu na brak wymaganego uwierzytelnienia oraz wysoki wpływ na integralność i dostępność systemu.

Pokaż oryginał (EN)

14Finger v1.1 was discovered to contain an arbitrary user deletion vulnerability via the component /api/admin/user?id.

🤖 Analiza AI
Jak działa

Atakujący wysyła żądanie HTTP do endpointu /api/admin/user?id z odpowiednim identyfikatorem użytkownika, co skutkuje jego usunięciem z systemu. Brak mechanizmów kontroli dostępu przy obsłudze tego żądania oznacza, że operacja może zostać wykonana bez posiadania uprawnień administracyjnych ani żadnego uwierzytelnienia. Podatność ma charakter zdalny i nie wymaga żadnej interakcji po stronie ofiary.

Skutki

Atakujący może trwale usunąć dowolne konta użytkowników w systemie, w tym konta administracyjne, co prowadzi do utraty integralności danych oraz potencjalnej niedostępności aplikacji. W skrajnym przypadku możliwe jest całkowite pozbawienie wszystkich użytkowników dostępu do systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu do endpointu /api/admin/user na poziomie firewall lub reverse proxy oraz wymuszenie silnej kontroli uwierzytelnienia i autoryzacji dla wszystkich operacji administracyjnych API.

Kogo dotyczy

14Finger w wersji 1.1 (produkt B1Ackc4T)

Uwagi

Podatność została zgłoszona poprzez publiczny issue w repozytorium GitHub projektu (issue #12). Wektor CVSS wskazuje na brak wymagania uwierzytelnienia (PR:N) oraz brak konieczności interakcji użytkownika (UI:N), co czyni ją łatwą do wykorzystania zdalnie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • B1ackc4t 14finger

    APP
    B1Ackc4T
    1.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-37770CRITICAL9.1PL ✓ten sam produkt

RCE w funkcji fingerprint narzędzia 14Finger v1.1

CVE-2024-37767HIGH7.5ten sam produkt

Insecure permissions in the component /api/admin/user of 14Finger v1.1 allows attackers to access all user inf...

CVE-2024-37769HIGH8.8ten sam produkt

Insecure permissions in 14Finger v1.1 allow attackers to escalate privileges from normal user to Administrator...

CVE-2024-37768 — Nieautoryzowane usuwanie użytkowników w 14Finger v1.1 — CRITICAL 9.1 | CVEbaza.pl