SOPlanning before 1.47 has Incorrect Access Control because certain secret key information, and the related authentication algorithm, is public. The key for admin is hardcoded in the installation code, and there is no key for publicsp (which is a guest account).
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSoplanning
APPSoplanning1.45 – 1.47 (bez)
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
CWE
Related vulnerabilities
CVE-2024-57169CRITICAL9.8PL ✓ten sam produkt
SOPlanning 1.53.00 — ominięcie ograniczeń przesyłania plików prowadzące do RCE
CVE-2024-9574CRITICAL9.8PL ✓ten sam produkt
SQL Injection w SOPlanning — dostęp do całej bazy danych
CVE-2024-27115CRITICAL10.0PL ✓ten sam produkt
Nieuwierzytelniony RCE w SO Planning — nieograniczony upload plików
CVE-2024-27112CRITICAL9.3PL ✓ten sam produkt
SQL Injection w SO Planning — dostęp do bazy bez uwierzytelnienia
CVE-2024-27113CRITICAL9.3PL ✓ten sam produkt
IDOR w SO Planning umożliwia nieuwierzytelniony eksport bazy danych