Podatność w aplikacji CVLand (CB Project Ltd. Co.) umożliwia nieautoryzowanemu użytkownikowi ominięcie mechanizmów autoryzacji poprzez manipulację parametrami żądania. Wysoki wynik CVSS 9.9 wskazuje na krytyczny poziom zagrożenia z możliwością naruszenia poufności, integralności oraz częściowo dostępności systemu.
▸ Pokaż oryginał (EN)
Authorization Bypass Through User-Controlled Key vulnerability in CB Project Ltd. Co. CVLand allows Parameter Injection. This issue affects CVLand: from 2.1.0 through 20251103. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
Podatność sklasyfikowana jako CWE-639 (Authorization Bypass Through User-Controlled Key) polega na tym, że aplikacja używa wartości kontrolowanej przez użytkownika jako klucza do podejmowania decyzji autoryzacyjnych. Atakujący może przeprowadzić atak typu Parameter Injection, modyfikując parametry żądania w taki sposób, aby uzyskać dostęp do zasobów lub funkcji, do których normalnie nie posiada uprawnień. Wektor ataku jest sieciowy (AV:N), nie wymaga interakcji ofiary ani wysokich uprawnień (wystarczy konto zwykłego użytkownika), a zakres ataku obejmuje komponenty wykraczające poza samą aplikację (S:C).
Atakujący posiadający podstawowe konto w systemie może obejść mechanizmy kontroli dostępu, uzyskując nieautoryzowany dostęp do danych innych użytkowników lub wrażliwych zasobów systemu, a także potencjalnie modyfikować dane i zakłócać działanie aplikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Warto odnotować, że producent nie odpowiedział na próby kontaktu w ramach odpowiedzialnego ujawnienia podatności, co może oznaczać brak dostępnej poprawki — w takim przypadku zaleca się rozważenie wyłączenia lub odizolowania aplikacji do czasu wydania łatki.
CVLand firmy CB Project Ltd. Co. w wersjach od 2.1.0 do 20251103 włącznie.
Producent (CB Project Ltd. Co.) został poinformowany o podatności przed jej ujawnieniem, jednak nie odpowiedział w żaden sposób. Podatność została zgłoszona przez tureckie centrum reagowania na incydenty USOM (TR-25-0371).
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L