CRITICAL🇬🇧 English

CVE-2025-28399

Eskalacja uprawnień w Exrick Xmall przez metodę updateAddress

CVSS 9.8v3.1pub. 2025-04-15upd. 2025-04-25

Podatność w aplikacji Exrick Xmall w wersji 1.1 i wcześniejszych umożliwia zdalnemu atakującemu eskalację uprawnień bez uwierzytelnienia. Podatność jest oceniana jako krytyczna (CVSS 9.8), co oznacza możliwość pełnego przejęcia kontroli nad systemem.

Pokaż oryginał (EN)

An issue in Erick xmall v.1.1 and before allows a remote attacker to escalate privileges via the updateAddress method of the Address Controller class.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowego zarządzania uprawnieniami (CWE-269) w metodzie updateAddress klasy Address Controller. Zdalny atakujący może wysłać specjalnie spreparowane żądanie do wspomnianego endpointu bez konieczności posiadania jakichkolwiek uprawnień, co skutkuje nieautoryzowaną eskalacją uprawnień w aplikacji.

Skutki

Atakujący może uzyskać wyższy poziom uprawnień w aplikacji, co w praktyce może prowadzić do pełnego przejęcia kontroli nad systemem, ujawnienia poufnych danych oraz modyfikacji lub usunięcia danych aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację do wersji wyższej niż 1.1, ograniczenie dostępu do aplikacji na poziomie sieci oraz monitorowanie ruchu kierowanego do endpointów klasy Address Controller.

Kogo dotyczy

Exrick Xmall w wersji 1.1 oraz we wszystkich wcześniejszych wersjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Exrick Xmall

    APP
    Exrick
    1.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2025-45612CRITICAL9.8PL ✓ten sam produkt

Obejście uwierzytelnienia w Exrick Xmall v1.1 poprzez crafted GET request

CVE-2024-24112CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Exrick XMall przez parametr orderDir

CVE-2023-36331HIGH8.2ten sam produkt

Incorrect access control in the /member/orderList API of xmall v1.1 allows attackers to arbitrarily access oth...

CVE-2025-65540MEDIUM6.1ten sam produkt

Multiple Cross-Site Scripting (XSS) vulnerabilities exist in xmall v1.1 due to improper handling of user-suppl...

CVE-2021-43432MEDIUM6.1ten sam produkt

A Cross Site Scripting (XSS) vulnerability exists in Exrick XMall Admin Panel as of 11/7/2021 via the GET para...