Podatność w aplikacji Alex Tselegidis EasyAppointments w wersji 1.5.0 umożliwia zdalnemu atakującemu eskalację uprawnień (privilege escalation) bez konieczności uwierzytelnienia. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko przejęcia kontroli nad systemem.
▸ Pokaż oryginał (EN)
An issue in Alex Tselegidis EasyAppointments v.1.5.0 allows a remote attacker to escalate privileges via the index.php file.
Problem dotyczy pliku index.php, przez który możliwa jest nieautoryzowana eskalacja uprawnień (CWE-269 — improper privilege management). Atakujący może zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, wywołać odpowiednie żądanie do aplikacji i uzyskać wyższy poziom dostępu niż powinien posiadać. Szczegółowy mechanizm techniczny nie został ujawniony w dostępnym opisie.
Atakujący może uzyskać podwyższone uprawnienia w aplikacji EasyAppointments, co może prowadzić do pełnego przejęcia systemu, ujawnienia danych, ich modyfikacji lub niedostępności usługi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację do najnowszej dostępnej wersji EasyAppointments oraz ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci lub użytkowników do czasu wdrożenia poprawki.
Alex Tselegidis EasyAppointments v.1.5.0
Podatność została zgłoszona i opisana pod adresem https://hkohi.ca/vulnerability/12. Brak dodatkowych informacji o dostępnym publicznym exploicie lub aktywnym wykorzystaniu.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HEasyappointments
APPEasyappointments1.5.0
Powiązane podatności
BOLA w EasyAppointments — nieuprawniony dostęp do wizyt innych użytkowników
BOLA w EasyAppointments — nieautoryzowany dostęp do webhooków innych użytkowników
BOLA w Easy!Appointments — nieautoryzowany dostęp do kont dostawców
BOLA w Easy!Appointments — privilege escalation do administratora
BOLA w Easy!Appointments — nieuprawniony dostęp do danych sekretarek