Podatność w systemie RuoYi v4.8.2 pozwala nieuwierzytelnionym atakującym na nieautoryzowaną modyfikację danych wykraczającą poza ich uprawnienia. Błąd dotyczy funkcji aktualizacji i wynika z braku właściwej kontroli dostępu.
▸ Pokaż oryginał (EN)
Incorrect access control in the update function of RuoYi v4.8.2 allows unauthorized attackers to arbitrarily modify data outside of their scope.
Funkcja aktualizacji danych w RuoYi v4.8.2 nie weryfikuje poprawnie, czy żądający użytkownik posiada uprawnienia do modyfikacji wskazanych zasobów. Atakujący bez uwierzytelnienia może wysłać odpowiednio spreparowane żądanie do endpointu aktualizacji, obchodząc mechanizmy kontroli dostępu. W rezultacie możliwa jest modyfikacja danych należących do innych użytkowników lub zasobów systemowych, do których atakujący nie powinien mieć dostępu.
Atakujący może arbitralnie modyfikować dane poza zakresem swoich uprawnień, co może prowadzić do naruszenia integralności danych przechowywanych w systemie oraz potencjalnego przejęcia kontroli nad zasobami innych użytkowników.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecane jest śledzenie oficjalnego repozytorium projektu na Gitee (https://gitee.com/y_project/RuoYi) oraz GitHub (https://github.com/yangzongzhuan/RuoYi) w celu uzyskania aktualizacji.
RuoYi v4.8.2
Dostępny publiczny proof-of-concept (PoC) w serwisie GitHub Gist pod adresem https://gist.github.com/old6ma/1a2dada02656ba9a4730c85f6c765f4f. Problem był zgłoszony w trackerze błędów Gitee jako IDIDK2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NRuoyi
APPRuoyi4.8.14.8.2
Powiązane podatności
SQL Injection (RCE) w RuoYi v.4.7.9 i wcześniejszych — funkcja createTable
RuoYi 4.8.0 – privilege escalation przez metodę changeStatus
Eskalacja uprawnień przez parametr jobId w RuoYi v.4.8.0
Eskalacja uprawnień w RuoYi v.4.8.0 poprzez parametr jobLogId
RuoYi 4.8.0 — privilege escalation przez brak walidacji parametru deptId