CRITICAL🇬🇧 English

CVE-2024-55507

Eskalacja uprawnień w Codeastro Complaint Management System v.1.0

CVSS 9.8v3.1pub. 2025-01-03upd. 2025-04-03

Podatność w komponencie delete_e.php systemu Codeastro Complaint Management System v.1.0 umożliwia zdalnemu atakującemu eskalację uprawnień bez uwierzytelnienia. Krytyczny poziom zagrożenia wynika z pełnej dostępności exploitu przez sieć bez jakichkolwiek warunków wstępnych.

Pokaż oryginał (EN)

An issue in CodeAstro Complaint Management System v.1.0 allows a remote attacker to escalate privileges via the delete_e.php component.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-281 (Improper Preservation of Permissions) dotyczy komponentu delete_e.php, który nieprawidłowo zarządza uprawnieniami podczas wykonywania operacji. Zdalny atakujący może wysłać odpowiednio spreparowane żądanie do tego komponentu, co skutkuje nieautoryzowanym uzyskaniem wyższych uprawnień w aplikacji. Podatność nie wymaga wcześniejszego uwierzytelnienia ani interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w systemie, co potencjalnie pozwala na pełne przejęcie kontroli nad aplikacją, odczyt, modyfikację lub usunięcie danych zarządzanych przez system.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do komponentu delete_e.php na poziomie serwera WWW (np. przez firewall lub reguły serwera HTTP) oraz monitorowanie podejrzanych żądań kierowanych do tego endpointu.

Kogo dotyczy

Codeastro Complaint Management System v.1.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Codeastro Complaint Management System

    APP
    Codeastro
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2024-55509CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Codeastro Complaint Management System umożliwiający RCE i eskalację uprawnień

CVE-2024-56889HIGH7.5ten sam produkt

Incorrect access control in the endpoint /admin/m_delete.php of CodeAstro Complaint Management System v1.0 all...

CVE-2024-55505HIGH8.8ten sam produkt

An issue in CodeAstro Complaint Management System v.1.0 allows a remote attacker to escalate privileges via th...

CVE-2024-55506HIGH8.8ten sam produkt

An IDOR vulnerability in CodeAstro's Complaint Management System v1.0 (version with 0 updates) enables an atta...

CVE-2025-70149CRITICAL9.8PL ✓ten sam vendor

SQL Injection w Codeastro Membership Management System via parametr ID