CRITICAL🇬🇧 English

CVE-2025-12868

CyberTutor New Site Server — obejście uwierzytelnienia po stronie klienta

CVSS 9.3v4.0pub. 2025-11-10upd. 2026-04-15

Oprogramowanie New Site Server firmy CyberTutor zawiera podatność CWE-603 polegającą na stosowaniu uwierzytelnienia wyłącznie po stronie klienta. Nieuwierzytelniony, zdalny atakujący może zmodyfikować kod frontendu i uzyskać uprawnienia administratora witryny.

Pokaż oryginał (EN)

New Site Server developed by CyberTutor has a Use of Client-Side Authentication vulnerability, allowing unauthenticated remote attackers to modify the frontend code to gain administrator privileges on the website.

🤖 Analiza AI
Jak działa

Aplikacja opiera weryfikację uprawnień na mechanizmach działających po stronie przeglądarki (client-side authentication), zamiast wymuszać kontrolę dostępu na serwerze. Atakujący może manipulować kodem lub danymi przesyłanymi przez przeglądarkę — np. edytując JavaScript, parametry żądań lub ciasteczka — aby ominąć logikę uwierzytelnienia. W rezultacie aplikacja przyznaje atakującemu uprawnienia administratora bez weryfikacji tożsamości po stronie serwera.

Skutki

Atakujący uzyskuje pełne uprawnienia administratora na podatnej witrynie, co umożliwia mu przejęcie kontroli nad jej zawartością, ustawieniami oraz danymi użytkowników.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT (https://www.twcert.org.tw/en/cp-139-10492-84a10-2.html). Dodatkowo należy przenieść całą logikę uwierzytelnienia i autoryzacji na stronę serwera, eliminując poleganie na danych kontrolowanych przez klienta.

Kogo dotyczy

Oprogramowanie New Site Server firmy CyberTutor — dokładne wersje wskazane w referencjach producenta (TWCERT).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje