CWE-863
Incorrect Authorization
Produkt wykonuje sprawdzenie autoryzacji, gdy użytkownik próbuje uzyskać dostęp do zasobu lub wykonać akcję, ale sprawdzenie to nie jest wykonane prawidłowo. Wada ta może pozwolić na nieuprawnionym dostęp do zasobów lub wykonanie niedozwolonych operacji.
The product performs an authorization check when an actor attempts to access a resource or perform an action, but it does not correctly perform the check.
Adobe Campaign Classic (ACC) versions 7.4.3 build 9396 and earlier are affected by an Incorrect Authorization vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.
FOSSBilling w wersjach od 0.5.4 do wcześniejszych niż 0.8.0 zawiera krytyczną podatność polegającą na pominięciu autoryzacji w obsłudze ról API. Atakujący bez żadnych poświadczeń może uzyskać dostęp do uprzywilejowanych endpointów administracyjnych `/api/system/*`.
ProxySQL is a proxy for MySQL and its forks, as well as PostgreSQL. In versions 2.0.0 through 3.0.8, the ProxySQL MySQL frontend accepts the `PROXY UNKNOWN <addr> <addr> <port> <port>\r\n` PP1 frame as a well-formed PROXY protocol header. The HAProxy PROXY protocol v1 specification says that when the protocol token is `UNKNOWN`, the receiver MUST ignore any address fields that follow it, because the proxy has declared it cannot determine the client identity. ProxySQL parses those address fields anyway via `sscanf` and writes the spoofed source address into the session's `addr.addr` field. From there it flows directly into the query-rule matcher, where the `client_addr` predicate decides routing and ACL. When `mysql-proxy_protocol_networks = '*'` (the default), any TCP peer can send a PP1 frame and choose any source IP claim. With that, any `mysql_query_rules` row pinned to a `client_addr` value is forgeable: the attacker writes the address they want to match into the PP1 line, and ProxySQL routes their query as if it came from that address. In practice this is a routing and ACL bypass. Real deployments use `client_addr` for read-write splitting (internal apps go to the primary, public traffic to read replicas), per-app schema pinning, and query-filter rules (DDL allowed only from admin CIDR, public queries blocked from dangerous patterns). An attacker that can reach the frontend port can forge their way into any of those routes. Version 3.0.9 patches this issue.
Adobe Campaign Classic (ACC) zawiera krytyczną podatność nieprawidłowej autoryzacji (CWE-863), umożliwiającą zdalne wykonanie dowolnego kodu bez interakcji użytkownika. Podatność uzyskała maksymalny wynik CVSS 10.0 i zmienia zakres bezpieczeństwa poza atakowany komponent.
W open-source'owej implementacji sieci 5G Core — free5GC — przed wersją 4.2.2 komponent NEF (Network Exposure Function) nie wymaga autoryzacji OAuth2/bearer-token na grupie tras nnef-pfdmanagement. Atakujący sieciowy może użyć dowolnego lub sfałszowanego tokenu, aby odczytać dane aplikacji PFD oraz manipulować subskrypcjami powiadomień o zmianach PFD.
Podatność w bibliotece Golang Crypto umożliwia ominięcie autoryzacji w błędnie skonfigurowanych serwerach SSH. Atakujący może uzyskać nieautoryzowany dostęp, pomijając weryfikację adresu źródłowego połączenia.
W aplikacji Data Space Portal (wersje od 2.1.1 do przed 7.3.2) backend nie weryfikuje poprawnie uprawnień dla samodzielnie zarejestrowanych kont organizacji i użytkowników w stanie PENDING. Podatność otrzymała maksymalny wynik CVSS 10.0 i może umożliwić nieautoryzowanym podmiotom wykonywanie operacji zarezerwowanych dla zatwierdzonych użytkowników.
Podatność w Microsoft Azure AI Foundry polega na nieprawidłowej autoryzacji (CWE-285, CWE-863), która pozwala nieuwierzytelnionemu atakującemu na eskalację uprawnień przez sieć. Ocena CVSS 10.0 wskazuje na maksymalny poziom krytyczności — exploit jest możliwy bez żadnych uprawnień i bez interakcji użytkownika.
Podatność w Microsoft Azure Kubernetes Service umożliwia nieuwierzytelnionemu atakującemu zdalne podniesienie uprawnień przez sieć. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — pełne naruszenie poufności, integralności i dostępności zasobów.
Adobe Experience Manager Forms w wersjach 6.5.23 i wcześniejszych zawiera podatność wynikającą z błędnej konfiguracji (misconfiguration), umożliwiającą zdalne wykonanie dowolnego kodu bez uwierzytelnienia. Podatność jest aktywnie exploitowana i uzyskała maksymalny wynik CVSS 10.0.
Descor Infocad w wersji 3.5.1 i wcześniejszych posiada krytyczną podatność polegającą na nieprawidłowej implementacji mechanizmu autoryzacji. Błąd umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do chronionych zasobów systemu bez żadnych ograniczeń sieciowych.
Podatność w aplikacji Govee Home na Android i iOS umożliwia nieuwierzytelnionemu atakującemu zdalne sterowanie urządzeniami należącymi do innych użytkowników. Luka wynika z braku poprawnej weryfikacji uprawnień w metodzie HTTP POST, co nadaje jej maksymalny wynik CVSS 10.0.
Dompdf is an HTML to PDF converter. The URI validation on dompdf 2.0.1 can be bypassed on SVG parsing by passing `<image>` tags with uppercase letters. This may lead to arbitrary object unserialize on PHP < 8, through the `phar` URL wrapper. An attacker can exploit the vulnerability to call arbitrary URL with arbitrary protocols, if they can provide a SVG file to dompdf. In PHP versions before 8.0.0, it leads to arbitrary unserialize, that will lead to the very least to an arbitrary file deletion and even remote code execution, depending on classes that are available.
Deno is a runtime for JavaScript and TypeScript. The versions of Deno between release 1.18.0 and 1.20.2 (inclusive) are vulnerable to an attack where a malicious actor controlling the code executed in a Deno runtime could bypass all permission checks and execute arbitrary shell code. This vulnerability does not affect users of Deno Deploy. The vulnerability has been patched in Deno 1.20.3. There is no workaround. All users are recommended to upgrade to 1.20.3 immediately.
MMP: All versions prior to v1.0.3, PTP C-series: Device versions prior to v2.8.6.1, and PTMP C-series and A5x: Device versions prior to v2.5.4.1 does not perform proper authorization checks on multiple API functions. An attacker may gain access to these functions and achieve remote code execution, create a denial-of-service condition, and obtain sensitive information.
The iframe sandbox rules were not correctly applied to XSLT stylesheets, allowing an iframe to bypass restrictions such as executing scripts or navigating the top-level frame. This vulnerability affects Firefox < 94, Thunderbird < 91.3, and Firefox ESR < 91.3.
OneFuzz is an open source self-hosted Fuzzing-As-A-Service platform. Starting with OneFuzz 2.12.0 or greater, an incomplete authorization check allows an authenticated user from any Azure Active Directory tenant to make authorized API calls to a vulnerable OneFuzz instance. To be vulnerable, a OneFuzz deployment must be both version 2.12.0 or greater and deployed with the non-default --multi_tenant_domain option. This can result in read/write access to private data such as software vulnerability and crash information, security testing tools and proprietary code and symbols. Via authorized API calls, this also enables tampering with existing data and unauthorized code execution on Azure compute resources. This issue is resolved starting in release 2.31.0, via the addition of application-level check of the bearer token's `issuer` against an administrator-configured allowlist. As a workaround users can restrict access to the tenant of a deployed OneFuzz instance < 2.31.0 by redeploying in the default configuration, which omits the `--multi_tenant_domain` option.
Incorrect Authorization vulnerability in Micro Focus Container Deployment Foundation component affects products: - Hybrid Cloud Management. Versions 2018.05 to 2019.11. - ArcSight Investigate. versions 2.4.0, 3.0.0 and 3.1.0. - ArcSight Transformation Hub. versions 3.0.0, 3.1.0, 3.2.0. - ArcSight Interset. version 6.0.0. - ArcSight ESM (when ArcSight Fusion 1.0 is installed). version 7.2.1. - Service Management Automation (SMA). versions 2018.05 to 2020.02 - Operation Bridge Suite (Containerized). Versions 2018.05 to 2020.02. - Network Operation Management. versions 2017.11 to 2019.11. - Data Center Automation Containerized. versions 2018.05 to 2019.11 - Identity Intelligence. versions 1.1.0 and 1.1.1. The vulnerability could be exploited to provide unauthorized access to the Container Deployment Foundation.
The REST API component of TIBCO Software Inc.'s TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, and TIBCO Jaspersoft Reporting and Analytics for AWS contains a vulnerability that theoretically allows unauthenticated users to bypass authorization checks for portions of the HTTP interface to the JasperReports Server. Affected releases are TIBCO Software Inc.'s TIBCO JasperReports Server: 6.4.0; 6.4.1; 6.4.2; 6.4.3; 7.1.0, TIBCO JasperReports Server Community Edition: versions up to and including 7.1.0, TIBCO JasperReports Server for ActiveMatrix BPM: versions up to and including 6.4.3, TIBCO Jaspersoft for AWS with Multi-Tenancy: versions up to and including 7.1.0, and TIBCO Jaspersoft Reporting and Analytics for AWS: versions up to and including 7.1.0.
Postiz is an AI social media scheduling tool. In versions prior to 2.21.8, the Skool integration callback signed an attacker-controlled JSON blob into a session-shape JWT using the application's JWT_SECRET, and the auth middleware trusted every claim in that JWT without re-resolving the user from the database. Any authenticated Postiz user could forge a SUPERADMIN session and impersonate arbitrary organizations. This allowed Full Access to the following: all parts of Postiz, including users registered to the specific instance and the ability to post in the name of the victim's social media channels added to that Postiz instance. This issue has been fixed in version 2.21.8.