CRITICAL🇬🇧 English

CVE-2025-2395

U-Office Force: Nieautoryzowane logowanie jako administrator przez manipulację cookies

CVSS 9.8v3.1pub. 2025-03-17upd. 2025-11-18

System U-Office Force firmy e-Excellence zawiera podatność typu Improper Authentication, która umożliwia niezautoryzowanym zdalnym atakującym zalogowanie się na konto administratora. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.

Pokaż oryginał (EN)

The U-Office Force from e-Excellence has an Improper Authentication vulnerability, allowing unauthenticated remote attackers to use a particular API and alter cookies to log in as an administrator.

🤖 Analiza AI
Jak działa

Atakujący wykorzystuje określone API dostępne bez uwierzytelnienia, a następnie manipuluje wartościami cookies w taki sposób, aby system potraktował go jako zalogowanego administratora. Błąd wynika z nieprawidłowej walidacji tożsamości użytkownika po stronie serwera (CWE-565 — Reliance on Cookies without Validation and Integrity Checking). W efekcie mechanizm kontroli dostępu oparty na cookies może zostać całkowicie obejśty przez nieuprawnioną osobę.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do systemu U-Office Force, co może prowadzić do ujawnienia poufnych danych, modyfikacji konfiguracji systemu lub jego całkowitego przejęcia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT/CC pod adresami: https://www.twcert.org.tw/en/cp-139-10012-d5bbc-2.html oraz https://www.twcert.org.tw/tw/cp-132-10011-3de72-1.html

Kogo dotyczy

Produkt U-Office Force firmy e-Excellence (Edetw); konkretne wersje należy zweryfikować w referencjach producenta opublikowanych przez TWCERT/CC.

Uwagi

Podatność została zgłoszona i opublikowana przez tajwańskie centrum TWCERT/CC (Taiwan Computer Emergency Response Team / Coordination Center) w dniu 2025-03-17.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Edetw U Office Force

    APP
    Edetw
    < 28.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-3422CRITICAL9.3PL ✓ten sam produkt

Insecure Deserialization w Edetw U-Office Force umożliwia zdalne RCE

CVE-2023-32757CRITICAL9.8ten sam produkt

e-Excellence U-Office Force file uploading function does not restrict upload of file with dangerous type. An ...

CVE-2025-12864HIGH8.7ten sam produkt

U-Office Force developed by e-Excellence has a SQL Injection vulnerability, allowing authenticated remote atta...

CVE-2025-12865HIGH8.7ten sam produkt

U-Office Force developed by e-Excellence has a SQL Injection vulnerability, allowing authenticated remote atta...

CVE-2025-2396HIGH8.8ten sam produkt

The U-Office Force from e-Excellence has an Arbitrary File Upload vulnerability, allowing remote attackers wit...

CVE-2025-2395 — U-Office Force: Nieautoryzowane logowanie jako administrator przez manipulację cookies — CRITICAL 9.8 | CVEbaza.pl