Opis
Serwer zawiera mechanizm ochrony, który zakłada, że dostęp do dowolnego URI przy użyciu metody HTTP GET nie spowoduje zmiany stanu powiązanego zasobu. Może to pozwolić atakującym na obejście zamierzonych ograniczeń dostępu i przeprowadzenie ataków modyfikacji i usunięcia zasobów, ponieważ niektóre aplikacje błędnie wykorzystują metody HTTP.
Description (EN)
The server contains a protection mechanism that assumes that any URI that is accessed using HTTP GET will not cause a state change to the associated resource. This might allow attackers to bypass intended access restrictions and conduct resource modification and deletion attacks, since some applications allow GET to modify state.
Podatności CVE z CWE-650 (10)
8.7
CVSS
HIGH
CVE-2024-28787
pub. 2024-04-04
8.3
CVSS
HIGH
CVE-2025-21120
pub. 2025-08-04
8.1
CVSS
HIGH
CVE-2026-44548
pub. 2026-05-12
6.8
CVSS
MEDIUM
CVE-2024-45098
pub. 2024-09-05
5.9
CVSS
MEDIUM
CVE-2024-45097
pub. 2024-09-05
5.3
CVSS
MEDIUM
CVE-2023-50327
pub. 2024-02-02
5.3
CVSS
MEDIUM
CVE-2022-38115
pub. 2022-11-23
4.3
CVSS
MEDIUM
CVE-2026-42543
pub. 2026-06-04
4.3
CVSS
MEDIUM
CVE-2024-45282
pub. 2024-10-08
3.7
CVSS
LOW
CVE-2024-56339
pub. 2025-08-07