CRITICAL🇬🇧 English

CVE-2025-51682

mJobtime: autoryzacja po stronie klienta umożliwia dostęp do funkcji administracyjnych

CVSS 9.8v3.1pub. 2025-12-01upd. 2026-07-05

mJobtime 15.7.2 implementuje mechanizmy autoryzacji wyłącznie po stronie klienta, co pozwala atakującemu na ominięcie kontroli dostępu i uzyskanie nieautoryzowanego dostępu do funkcji administracyjnych. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

mJobtime 15.7.2 handles authorization on the client side, which allows an attacker to modify the client-side code and gain access to administrative features. Additionally, they can craft requests based on the client-side code to call these administrative functions directly.

🤖 Analiza AI
Jak działa

Aplikacja mJobtime opiera kontrolę dostępu na logice wykonywanej po stronie przeglądarki (client-side), zamiast egzekwować ją na serwerze. Atakujący może zmodyfikować kod wykonywaany po stronie klienta lub na jego podstawie samodzielnie skonstruować bezpośrednie żądania HTTP do endpointów administracyjnych. W ten sposób możliwe jest wywołanie dowolnych funkcji administracyjnych bez posiadania odpowiednich uprawnień. Jest to klasyczny przypadek podatności CWE-602, gdzie serwer ślepo ufa decyzjom podejmowanym po stronie klienta.

Skutki

Atakujący zdalny, nieuwierzytelniony może uzyskać pełen dostęp do funkcji administracyjnych aplikacji, co prowadzi do kompromitacji poufności, integralności oraz dostępności systemu zarządzania czasem pracy.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Kluczowym działaniem naprawczym jest przeniesienie logiki autoryzacji w całości na stronę serwera, tak aby żadne żądanie do funkcji administracyjnych nie było realizowane bez weryfikacji uprawnień po stronie backendu.

Kogo dotyczy

mJobtime w wersji 15.7.2

Uwagi

Podatność opisana przez badaczy z infoguard.ch w ramach advisory dotyczącego mJobtime, obejmującego również powiązane CVE-2025-51683 (SQLi/RCE). Publiczne advisory zawierające szczegóły techniczne jest dostępne pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mjobtime

    APP
    Mjobtime
    15.7.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-51683CRITICAL9.8PL ✓ten sam produkt

Blind SQL Injection w mJobtime umożliwiający dostęp bez uwierzytelnienia

CVE-2025-51682 — mJobtime: autoryzacja po stronie klienta umożliwia dostęp do funkcji administracyjnych — CRITICAL 9.8 | CVEbaza.pl