SOPlanning before 1.47 has Incorrect Access Control because certain secret key information, and the related authentication algorithm, is public. The key for admin is hardcoded in the installation code, and there is no key for publicsp (which is a guest account).
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSoplanning
APPSoplanning1.45 – 1.47 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Powiązane podatności
CVE-2024-57169CRITICAL9.8PL ✓ten sam produkt
SOPlanning 1.53.00 — ominięcie ograniczeń przesyłania plików prowadzące do RCE
CVE-2024-9574CRITICAL9.8PL ✓ten sam produkt
SQL Injection w SOPlanning — dostęp do całej bazy danych
CVE-2024-27115CRITICAL10.0PL ✓ten sam produkt
Nieuwierzytelniony RCE w SO Planning — nieograniczony upload plików
CVE-2024-27112CRITICAL9.3PL ✓ten sam produkt
SQL Injection w SO Planning — dostęp do bazy bez uwierzytelnienia
CVE-2024-27113CRITICAL9.3PL ✓ten sam produkt
IDOR w SO Planning umożliwia nieuwierzytelniony eksport bazy danych