CRITICAL🇬🇧 English

CVE-2025-0987

Authorization Bypass przez kontrolowany przez użytkownika klucz w CVLand

CVSS 9.9v3.1pub. 2025-11-03upd. 2026-06-06

Podatność w aplikacji CVLand (CB Project Ltd. Co.) umożliwia nieautoryzowanemu użytkownikowi ominięcie mechanizmów autoryzacji poprzez manipulację parametrami żądania. Wysoki wynik CVSS 9.9 wskazuje na krytyczny poziom zagrożenia z możliwością naruszenia poufności, integralności oraz częściowo dostępności systemu.

Pokaż oryginał (EN)

Authorization Bypass Through User-Controlled Key vulnerability in CB Project Ltd. Co. CVLand allows Parameter Injection. This issue affects CVLand: from 2.1.0 through 20251103. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-639 (Authorization Bypass Through User-Controlled Key) polega na tym, że aplikacja używa wartości kontrolowanej przez użytkownika jako klucza do podejmowania decyzji autoryzacyjnych. Atakujący może przeprowadzić atak typu Parameter Injection, modyfikując parametry żądania w taki sposób, aby uzyskać dostęp do zasobów lub funkcji, do których normalnie nie posiada uprawnień. Wektor ataku jest sieciowy (AV:N), nie wymaga interakcji ofiary ani wysokich uprawnień (wystarczy konto zwykłego użytkownika), a zakres ataku obejmuje komponenty wykraczające poza samą aplikację (S:C).

Skutki

Atakujący posiadający podstawowe konto w systemie może obejść mechanizmy kontroli dostępu, uzyskując nieautoryzowany dostęp do danych innych użytkowników lub wrażliwych zasobów systemu, a także potencjalnie modyfikować dane i zakłócać działanie aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Warto odnotować, że producent nie odpowiedział na próby kontaktu w ramach odpowiedzialnego ujawnienia podatności, co może oznaczać brak dostępnej poprawki — w takim przypadku zaleca się rozważenie wyłączenia lub odizolowania aplikacji do czasu wydania łatki.

Kogo dotyczy

CVLand firmy CB Project Ltd. Co. w wersjach od 2.1.0 do 20251103 włącznie.

Uwagi

Producent (CB Project Ltd. Co.) został poinformowany o podatności przed jej ujawnieniem, jednak nie odpowiedział w żaden sposób. Podatność została zgłoszona przez tureckie centrum reagowania na incydenty USOM (TR-25-0371).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje