CRITICAL🇬🇧 English

CVE-2025-25535

HTTP Response Manipulation umożliwia eskalację uprawnień w SCRIPT CASE

CVSS 9.8v3.1pub. 2025-03-26upd. 2026-04-15

Podatność w SCRIPT CASE v.1.0.002 Build7 pozwala zdalnemu atakującemu na eskalację uprawnień poprzez manipulację odpowiedziami HTTP. Krytyczny poziom CVSS 9.8 oznacza, że exploit nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

HTTP Response Manipulation in SCRIPT CASE v.1.0.002 Build7 allows a remote attacker to escalate privileges via a crafted request.

🤖 Analiza AI
Jak działa

Atakujący wysyła odpowiednio spreparowane żądanie HTTP (crafted request), które powoduje manipulację odpowiedzią serwera (HTTP Response Manipulation). Błąd sklasyfikowany jako CWE-276 (Incorrect Default Permissions) sugeruje, że mechanizm kontroli uprawnień w aplikacji nie jest poprawnie egzekwowany, co umożliwia obejście ograniczeń dostępu. Dzięki temu nieuwierzytelniony zdalny atakujący może uzyskać wyższy poziom uprawnień niż mu przysługuje.

Skutki

Atakujący może uzyskać nieautoryzowaną eskalację uprawnień (privilege escalation) w aplikacji SCRIPT CASE, co przy ocenie CVSS wskazującej na pełne naruszenie poufności, integralności i dostępności może skutkować całkowitym przejęciem kontroli nad aplikacją.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnych kanałów producenta SCRIPT CASE oraz zasobów wskazanych w referencjach (GitHub oraz besafebrasil.com.br) w celu uzyskania informacji o dostępnych aktualizacjach.

Kogo dotyczy

SCRIPT CASE v.1.0.002 Build7

Uwagi

Podatność została zgłoszona przez badacza o pseudonimie simalamuel, co wynika z odnośnika do repozytorium GitHub (github.com/simalamuel/Research). Dodatkowe informacje opublikowano na portalu besafebrasil.com.br.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje