Podatność w systemie Mahara umożliwia ujawnienie poufnych informacji administratorowi instytucji za pośrednictwem strony 'Current submissions'. Uzyskanie dostępu do danych, do których administrator instytucji nie powinien mieć wglądu, stanowi poważne zagrożenie dla prywatności użytkowników systemu.
▸ Pokaż oryginał (EN)
Supported versions of Mahara 24.04 before 24.04.1 and 23.04 before 23.04.6 are vulnerable to information being disclosed to an institution administrator under certain conditions via the 'Current submissions' page: Administration -> Groups -> Submissions.
W określonych warunkach strona administracyjna 'Administration -> Groups -> Submissions' (tzw. 'Current submissions') prezentuje administratorowi instytucji informacje, do których nie powinien mieć dostępu. Jest to błąd klasy CWE-200 (ujawnienie informacji), polegający na nieprawidłowej kontroli dostępu do danych przy wyświetlaniu zgłoszeń grupowych. Podatność nie wymaga uwierzytelnienia jako osoba atakująca spoza systemu, jednak do jej wykorzystania konieczne jest posiadanie roli administratora instytucji w ramach aplikacji.
Atakujący posiadający uprawnienia administratora instytucji może uzyskać nieuprawniony dostęp do poufnych danych dotyczących zgłoszeń użytkowników, co może naruszać prywatność użytkowników i wymogi compliance (np. RODO).
Należy zaktualizować Mahara do wersji 24.04.1 lub 23.04.6 (odpowiednio do używanej gałęzi). Szczegółowe informacje dostępne są w referencjach producenta na forum Mahara.
Mahara w wersjach 24.04 przed 24.04.1 oraz 23.04 przed 23.04.6
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NMahara
APPMahara23.04.0 – 23.04.6 (bez)24.04.0 – 24.04.1 (bez)
Powiązane podatności
Niebezpieczna deserializacja danych wejściowych w Mahara — RCE przez import skórki
Mahara 21.04 before 21.04.7, 21.10 before 21.10.5, 22.04 before 22.04.3, and 22.10 before 22.10.0 potentially ...
In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, the account associated with a web services token is v...
Mahara 15.04 before 15.04.8 and 15.10 before 15.10.4 and 16.04 before 16.04.2 are vulnerable to some authentic...
Mahara 15.04 before 15.04.10 and 15.10 before 15.10.6 and 16.04 before 16.04.4 are vulnerable to incorrect acc...