Oprogramowanie New Site Server firmy CyberTutor zawiera podatność CWE-603 polegającą na stosowaniu uwierzytelnienia wyłącznie po stronie klienta. Nieuwierzytelniony, zdalny atakujący może zmodyfikować kod frontendu i uzyskać uprawnienia administratora witryny.
▸ Pokaż oryginał (EN)
New Site Server developed by CyberTutor has a Use of Client-Side Authentication vulnerability, allowing unauthenticated remote attackers to modify the frontend code to gain administrator privileges on the website.
Aplikacja opiera weryfikację uprawnień na mechanizmach działających po stronie przeglądarki (client-side authentication), zamiast wymuszać kontrolę dostępu na serwerze. Atakujący może manipulować kodem lub danymi przesyłanymi przez przeglądarkę — np. edytując JavaScript, parametry żądań lub ciasteczka — aby ominąć logikę uwierzytelnienia. W rezultacie aplikacja przyznaje atakującemu uprawnienia administratora bez weryfikacji tożsamości po stronie serwera.
Atakujący uzyskuje pełne uprawnienia administratora na podatnej witrynie, co umożliwia mu przejęcie kontroli nad jej zawartością, ustawieniami oraz danymi użytkowników.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT (https://www.twcert.org.tw/en/cp-139-10492-84a10-2.html). Dodatkowo należy przenieść całą logikę uwierzytelnienia i autoryzacji na stronę serwera, eliminując poleganie na danych kontrolowanych przez klienta.
Oprogramowanie New Site Server firmy CyberTutor — dokładne wersje wskazane w referencjach producenta (TWCERT).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X