mJobtime 15.7.2 implementuje mechanizmy autoryzacji wyłącznie po stronie klienta, co pozwala atakującemu na ominięcie kontroli dostępu i uzyskanie nieautoryzowanego dostępu do funkcji administracyjnych. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
mJobtime 15.7.2 handles authorization on the client side, which allows an attacker to modify the client-side code and gain access to administrative features. Additionally, they can craft requests based on the client-side code to call these administrative functions directly.
Aplikacja mJobtime opiera kontrolę dostępu na logice wykonywanej po stronie przeglądarki (client-side), zamiast egzekwować ją na serwerze. Atakujący może zmodyfikować kod wykonywaany po stronie klienta lub na jego podstawie samodzielnie skonstruować bezpośrednie żądania HTTP do endpointów administracyjnych. W ten sposób możliwe jest wywołanie dowolnych funkcji administracyjnych bez posiadania odpowiednich uprawnień. Jest to klasyczny przypadek podatności CWE-602, gdzie serwer ślepo ufa decyzjom podejmowanym po stronie klienta.
Atakujący zdalny, nieuwierzytelniony może uzyskać pełen dostęp do funkcji administracyjnych aplikacji, co prowadzi do kompromitacji poufności, integralności oraz dostępności systemu zarządzania czasem pracy.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Kluczowym działaniem naprawczym jest przeniesienie logiki autoryzacji w całości na stronę serwera, tak aby żadne żądanie do funkcji administracyjnych nie było realizowane bez weryfikacji uprawnień po stronie backendu.
mJobtime w wersji 15.7.2
Podatność opisana przez badaczy z infoguard.ch w ramach advisory dotyczącego mJobtime, obejmującego również powiązane CVE-2025-51683 (SQLi/RCE). Publiczne advisory zawierające szczegóły techniczne jest dostępne pod adresem wskazanym w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMjobtime
APPMjobtime15.7.2