CRITICAL🇬🇧 English

CVE-2025-60306

Auth Bypass w Simple Car Rental System — przejęcie sesji wysokich uprawnień

CVSS 9.9v3.1pub. 2025-10-10upd. 2026-07-05

Simple Car Rental System 1.0 zawiera podatność umożliwiającą użytkownikom o niskich uprawnieniach sfałszowanie sesji wysokich uprawnień. Błąd pozwala na nieautoryzowane wykonywanie wrażliwych operacji administracyjnych.

Pokaż oryginał (EN)

code-projects Simple Car Rental System 1.0 has a permission bypass issue where low privilege users can forge high privilege sessions and perform sensitive operations.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli dostępu (CWE-284) oraz niewystarczającej weryfikacji tożsamości (CWE-287). Zalogowany użytkownik o niskich uprawnieniach może sfałszować dane sesji tak, aby system potraktował go jako użytkownika z wysokimi uprawnieniami. Po pomyślnym obejściu mechanizmu autoryzacji atakujący uzyskuje możliwość wykonywania operacji zarezerwowanych dla administratorów.

Skutki

Atakujący z dostępem do konta o niskich uprawnieniach może uzyskać pełną kontrolę nad aplikacją, wykonując dowolne wrażliwe operacje administracyjne — co może prowadzić do naruszenia poufności, integralności i dostępności systemu (CVSS C:H/I:H/A:H).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych użytkowników oraz wdrożenie dodatkowej walidacji uprawnień po stronie serwera.

Kogo dotyczy

Code-Projects Simple Car Rental System w wersji 1.0

Uwagi

Szczegółowy opis podatności wraz z dowodem koncepcji (proof of concept) dostępny jest w referencjach GitHub pod adresem wskazanym w zgłoszeniu CVE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Code Projects Simple Car Rental System

    APP
    Code-Projects
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-12945MEDIUM6.9ten sam produkt

A vulnerability classified as critical was found in code-projects Simple Car Rental System 1.0. This vulnerabi...

CVE-2025-8335LOW2.1ten sam produkt

A vulnerability classified as problematic has been found in code-projects Simple Car Rental System 1.0. This a...

CVE-2025-8337LOW1.9ten sam produkt

A vulnerability, which was classified as problematic, has been found in code-projects Simple Car Rental System...

CVE-2024-34955CRITICAL9.8PL ✓ten sam vendor

SQL Injection w Code-Projects Budget Management via parametr delete

CVE-2023-41505CRITICAL9.8PL ✓ten sam vendor

Arbitrary file upload umożliwiający RCE w Student Enrollment In PHP

CVE-2025-60306 — Auth Bypass w Simple Car Rental System — przejęcie sesji wysokich uprawnień — CRITICAL 9.9 | CVEbaza.pl