Podatność w aplikacji RuoYi v.4.8.0 umożliwia zdalnemu atakującemu eskalację uprawnień bez jakiegokolwiek uwierzytelnienia. Ze względu na wynik CVSS 9.8 stanowi krytyczne zagrożenie dla systemów udostępnionych w sieci.
▸ Pokaż oryginał (EN)
An issue in RUoYi v.4.8.0 allows a remote attacker to escalate privileges via the selectDeptTree method of the /selectDeptTree/{deptId} endpoint does not properly validate the deptId parameter
Metoda selectDeptTree obsługująca endpoint /selectDeptTree/{deptId} nie przeprowadza właściwej walidacji parametru deptId przekazanego przez użytkownika. Nieuwierzytelniony, zdalny atakujący może spreparować odpowiednie żądanie HTTP z manipulowaną wartością deptId, co skutkuje nieautoryzowanym podniesieniem uprawnień w aplikacji. Podatność klasyfikowana jest jako CWE-284 (Improper Access Control), co wskazuje na brak kontroli dostępu do wrażliwego zasobu.
Atakujący może uzyskać podwyższone uprawnienia w systemie, co potencjalnie prowadzi do pełnego przejęcia kontroli nad aplikacją, w tym naruszenia poufności, integralności oraz dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu (https://github.com/yangzongzhuan/RuoYi) w celu uzyskania aktualizacji. Do czasu wdrożenia łatki należy rozważyć ograniczenie dostępu do endpointu /selectDeptTree/{deptId} na poziomie firewall lub reverse proxy.
RuoYi v.4.8.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HRuoyi
APPRuoyi4.8.0
Powiązane podatności
RuoYi v4.8.2 — nieprawidłowa kontrola dostępu w funkcji aktualizacji
SQL Injection (RCE) w RuoYi v.4.7.9 i wcześniejszych — funkcja createTable
RuoYi 4.8.0 – privilege escalation przez metodę changeStatus
Eskalacja uprawnień przez parametr jobId w RuoYi v.4.8.0
Eskalacja uprawnień w RuoYi v.4.8.0 poprzez parametr jobLogId