Podatność typu BOLA (Broken Object Level Authorization) w aplikacji EasyAppointments umożliwia niskouprzywilejowanemu użytkownikowi odczyt, modyfikację lub usunięcie webhooków należących do dowolnego użytkownika, w tym administratora. Jest to poważne zagrożenie, ponieważ pozwala na nieuprawniony dostęp i manipulację danymi bez wymagania podwyższonych uprawnień.
▸ Pokaż oryginał (EN)
A BOLA vulnerability in GET, PUT, DELETE /webhooks/{webhookId} allows a low privileged user to fetch, modify or delete a webhook of any user (including admin). This results in unauthorized access and unauthorized data manipulation.
Podatność dotyczy endpointów API: GET, PUT oraz DELETE /webhooks/{webhookId}. Aplikacja nie weryfikuje prawidłowo, czy żądający użytkownik jest właścicielem zasobu identyfikowanego przez parametr webhookId. Atakujący z niskim poziomem uprawnień może zatem podać identyfikator webhooka należącego do innego użytkownika (włącznie z administratorem) i wykonać na nim dowolną operację odczytu, edycji lub usunięcia.
Atakujący może odczytać poufne dane konfiguracyjne webhooków innych użytkowników, zmodyfikować je (np. przekierować powiadomienia na kontrolowany przez siebie adres) lub trwale je usunąć, co prowadzi do nieautoryzowanego dostępu do danych i nieuprawnionej manipulacji konfiguracją systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się monitorowanie repozytorium projektu pod adresem https://github.com/alextselegidis/easyappointments w celu uzyskania informacji o dostępnych aktualizacjach.
Aplikacja EasyAppointments (alextselegidis/easyappointments) — konkretne wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:LEasyappointments
APPEasyappointments< 1.5.0
Powiązane podatności
EasyAppointments v.1.5.0 — privilege escalation przez index.php
BOLA w Easy!Appointments — nieuprawniony dostęp do danych sekretarek
BOLA w Easy!Appointments — nieautoryzowany dostęp do kont dostawców
BOLA w Easy!Appointments — privilege escalation do administratora
BOLA w EasyAppointments — nieuprawniony dostęp do wizyt innych użytkowników