W projekcie Miazzy oa-front-service (gałąź master) wykryto krytyczną podatność sklasyfikowaną jako CWE-829, polegającą na dołączaniu funkcjonalności z niezaufanej sfery kontroli. Podatność uzyskała ocenę CVSS 9.8, co czyni ją ekstremalnie niebezpieczną i możliwą do zdalnego wykorzystania bez jakiejkolwiek autoryzacji.
▸ Pokaż oryginał (EN)
An issue pertaining to CWE-829: Inclusion of Functionality from Untrusted Control Sphere was discovered in Miazzy oa-front-service master.
Podatność typu CWE-829 (Inclusion of Functionality from Untrusted Control Sphere) polega na tym, że aplikacja pobiera i wykonuje kod lub zasoby z zewnętrznych, niezaufanych źródeł bez odpowiedniej weryfikacji ich integralności lub pochodzenia. Atakujący może wpłynąć na to, jaki kod zostanie załadowany przez aplikację, podstawiając własną, złośliwą funkcjonalność. Wektor ataku jest sieciowy (AV:N), nie wymaga uwierzytelnienia (PR:N) ani interakcji ze strony użytkownika (UI:N), co oznacza możliwość w pełni zdalnego i automatycznego wykorzystania.
Pomyślne wykorzystanie podatności może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu — atakujący może uzyskać nieautoryzowany dostęp do danych, zmodyfikować zawartość aplikacji lub doprowadzić do jej niedostępności.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu pod adresem https://github.com/Miazzy/oa-front-service oraz analizę wskazanego proof-of-concept pod adresem https://gist.github.com/zcxlighthouse/a29d9de46c4eac2de5c4d5a7b6c6c532 w celu oceny zagrożenia i wdrożenia odpowiednich środków zaradczych.
Miazzy oa-front-service, gałąź master (konkretne wersje wskazane w referencjach producenta)
Podatność dotyczy gałęzi master repozytorium — projekt może nie posiadać oficjalnych wydań wersjonowanych, co utrudnia określenie zakresu wdrożeń. Publiczne referencje wskazują na dostępność proof-of-concept na platformie GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMiazzy Oa Font Service
APPMiazzymaster