Podatność w aplikacji RuoYi v.4.8.0 umożliwia zdalnemu atakującemu nieautoryzowane podniesienie uprawnień za pośrednictwem metody changeStatus. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z możliwości pełnego kompromitowania poufności, integralności i dostępności systemu bez konieczności uwierzytelnienia.
▸ Pokaż oryginał (EN)
An issue in RUoYi v.4.8.0 allows a remote attacker to escalate privileges via the changeStatus method
Podatność sklasyfikowana jako CWE-284 (Improper Access Control) dotyczy metody changeStatus w aplikacji RuoYi. Zdalny atakujący może wywołać tę metodę bez odpowiednich uprawnień, co skutkuje brakiem właściwej weryfikacji kontroli dostępu po stronie serwera. W efekcie możliwe jest eskalowanie własnych uprawnień do wyższego poziomu w aplikacji.
Atakujący może uzyskać podwyższone uprawnienia w systemie, co potencjalnie prowadzi do pełnego przejęcia kontroli nad aplikacją, modyfikacji danych oraz naruszenia poufności i dostępności zasobów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnego repozytorium projektu RuoYi na GitHub w celu uzyskania aktualnych informacji o poprawkach bezpieczeństwa.
RuoYi v.4.8.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HRuoyi
APPRuoyi4.8.0
Powiązane podatności
RuoYi v4.8.2 — nieprawidłowa kontrola dostępu w funkcji aktualizacji
SQL Injection (RCE) w RuoYi v.4.7.9 i wcześniejszych — funkcja createTable
Eskalacja uprawnień w RuoYi v.4.8.0 poprzez parametr jobLogId
Eskalacja uprawnień przez parametr jobId w RuoYi v.4.8.0
RuoYi 4.8.0 — privilege escalation przez brak walidacji parametru deptId