Tarkov Data Manager zawiera krytyczną podatność umożliwiającą ominięcie uwierzytelnienia w endpoincie logowania. Nieuwierzytelniony atakujący może uzyskać pełny dostęp administracyjny do panelu zarządzania danymi.
▸ Pokaż oryginał (EN)
The Tarkov Data Manager is a tool to manage the Tarkov item data. Prior to 02 January 2025, an authentication bypass vulnerability in the login endpoint allows any unauthenticated user to gain full admin access to the Tarkov Data Manager admin panel by exploiting a JavaScript prototype property access vulnerability, combined with loose equality type coercion. A series of fix commits on 02 January 2025 fixed this and other vulnerabilities.
Podatność wynika z połączenia dwóch mechanizmów: błędu dostępu do właściwości prototypu JavaScript (JavaScript prototype property access vulnerability, CWE-1321) oraz luźnego porównywania typów (loose equality type coercion, CWE-843). Atakujący może dostarczyć spreparowane dane wejściowe do endpointu logowania, które poprzez mechanizm prototype pollution lub nieprawidłowe porównanie typów skutkują pominięciem weryfikacji tożsamości użytkownika (CWE-287). W efekcie aplikacja traktuje żądanie jako uwierzytelnione i przyznaje uprawnienia administratora.
Atakujący bez żadnych poświadczeń uzyskuje pełny dostęp do panelu administracyjnego Tarkov Data Manager, co pozwala na odczyt, modyfikację lub usunięcie zarządzanych danych o przedmiotach Tarkov.
Należy zaktualizować Tarkov Data Manager do wersji zawierającej poprawki wprowadzone 02 stycznia 2025 roku (commit f188f0abf766cefe3f1b7b4fc6fe9dad3736174a). Szczegóły dostępne w referencjach producenta na GitHub.
Tarkov Data Manager (projekt the-hideout/tarkov-data-manager) we wszystkich wersjach wydanych przed 02 stycznia 2025 roku
Podatność została naprawiona serią commitów z dnia 02 stycznia 2025 roku. Szczegółowe informacje dostępne w security advisory GHSA-r8w6-9xwg-6h73 na GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTarkov Data Manager
APPTarkov< 2025-01-02