CRITICAL🇬🇧 English

CVE-2023-38049

BOLA w EasyAppointments — nieuprawniony dostęp do wizyt innych użytkowników

CVSS 9.9v3.1pub. 2024-07-09upd. 2024-11-21

Podatność typu BOLA (Broken Object Level Authorization) w aplikacji EasyAppointments umożliwia nisko uprzywilejowanemu użytkownikowi odczyt, modyfikację lub usunięcie wizyt należących do dowolnego użytkownika, włącznie z administratorem. Stanowi poważne zagrożenie dla integralności i poufności danych przechowywanych w systemie.

Pokaż oryginał (EN)

A BOLA vulnerability in GET, PUT, DELETE /appointments/{appointmentId} allows a low privileged user to fetch, modify or delete an appointment of any user (including admin). This results in unauthorized access and unauthorized data manipulation.

🤖 Analiza AI
Jak działa

Błąd polega na braku prawidłowej weryfikacji uprawnień na poziomie obiektu w endpointach API: GET, PUT oraz DELETE /appointments/{appointmentId}. Uwierzytelniony użytkownik o niskich uprawnieniach może podstawić dowolny identyfikator wizyty (appointmentId) w żądaniu i uzyskać dostęp do zasobu należącego do innego użytkownika. Aplikacja nie sprawdza, czy zalogowany użytkownik jest właścicielem wskazanego zasobu, co pozwala na manipulowanie danymi poza swoim zakresem uprawnień.

Skutki

Atakujący może odczytać dane poufne dowolnej wizyty, zmodyfikować jej treść lub całkowicie ją usunąć — dotyczy to również wizyt administracyjnych. Prowadzi to do nieuprawnionego dostępu do danych oraz ich nieautoryzowanej manipulacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Repozytorium projektu dostępne jest pod adresem: https://github.com/alextselegidis/easyappointments

Kogo dotyczy

Aplikacja EasyAppointments (alextselegidis/easyappointments) — konkretne wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Easyappointments

    APP
    Easyappointments
    < 1.5.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-57602CRITICAL9.8PL ✓ten sam produkt

EasyAppointments v.1.5.0 — privilege escalation przez index.php

CVE-2023-38051CRITICAL9.9PL ✓ten sam produkt

BOLA w Easy!Appointments — nieuprawniony dostęp do danych sekretarek

CVE-2023-38048CRITICAL9.9PL ✓ten sam produkt

BOLA w Easy!Appointments — nieautoryzowany dostęp do kont dostawców

CVE-2023-3287CRITICAL9.9PL ✓ten sam produkt

BOLA w Easy!Appointments — privilege escalation do administratora

CVE-2023-38050CRITICAL9.1PL ✓ten sam produkt

BOLA w EasyAppointments — nieautoryzowany dostęp do webhooków innych użytkowników