CRITICAL🇬🇧 English

CVE-2025-45612

Obejście uwierzytelnienia w Exrick Xmall v1.1 poprzez crafted GET request

CVSS 9.8v3.1pub. 2025-05-05upd. 2025-06-16

Podatność w aplikacji Exrick Xmall v1.1 umożliwia atakującemu pominięcie mechanizmu uwierzytelnienia bez posiadania jakichkolwiek poświadczeń. Błędna kontrola dostępu (CWE-284) nadaje tej luce ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

Incorrect access control in xmall v1.1 allows attackers to bypass authentication via a crafted GET request to /index.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie GET do ścieżki /index, które pozwala ominąć mechanizmy kontroli dostępu aplikacji. Nieprawidłowa implementacja logiki uwierzytelnienia powoduje, że serwer nie weryfikuje tożsamości żądającego i przyznaje dostęp do chronionych zasobów. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych warunków sieciowych.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do aplikacji, co może prowadzić do ujawnienia, modyfikacji lub zniszczenia danych, a także do przejęcia pełnej kontroli nad zasobami chronionymi przez mechanizm uwierzytelnienia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Rekomenduje się również wdrożenie dodatkowej warstwy kontroli dostępu (np. firewall aplikacyjny WAF) oraz monitorowanie podejrzanych żądań GET kierowanych do ścieżki /index do czasu zastosowania poprawki.

Kogo dotyczy

Exrick Xmall w wersji 1.1

Uwagi

Szczegóły techniczne podatności zostały zgłoszone w publicznym zgłoszeniu na platformie GitHub (issue #96 w repozytorium Exrick/xmall). Podatność jest publicznie ujawniona, co zwiększa ryzyko jej wykorzystania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Exrick Xmall

    APP
    Exrick
    ≤ 1.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-28399CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w Exrick Xmall przez metodę updateAddress

CVE-2024-24112CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Exrick XMall przez parametr orderDir

CVE-2023-36331HIGH8.2ten sam produkt

Incorrect access control in the /member/orderList API of xmall v1.1 allows attackers to arbitrarily access oth...

CVE-2025-65540MEDIUM6.1ten sam produkt

Multiple Cross-Site Scripting (XSS) vulnerabilities exist in xmall v1.1 due to improper handling of user-suppl...

CVE-2021-43432MEDIUM6.1ten sam produkt

A Cross Site Scripting (XSS) vulnerability exists in Exrick XMall Admin Panel as of 11/7/2021 via the GET para...