Podatność w systemie BiEticaret CMS (Inrove Software and Internet Services) umożliwia ominięcie uwierzytelnienia poprzez mechanizm Execution After Redirect (EAR) oraz brak zabezpieczeń krytycznych funkcji. Zagrożenie jest oceniane jako krytyczne (CVSS 9.8), ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Execution After Redirect (EAR), Missing Authentication for Critical Function vulnerability in Inrove Software and Internet Services BiEticaret CMS allows Authentication Bypass, HTTP Response Splitting. This issue affects BiEticaret CMS: from 2.1.13 through 19022026. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
Podatność wynika z dwóch powiązanych słabości: CWE-306 (brak uwierzytelnienia dla krytycznych funkcji) oraz CWE-698 (Execution After Redirect). Mechanizm EAR polega na tym, że aplikacja wysyła odpowiedź przekierowującą (redirect) użytkownika, lecz jednocześnie kontynuuje wykonywanie kodu po stronie serwera — zanim klient faktycznie zostanie przekierowany. Atakujący może w ten sposób uzyskać dostęp do chronionych zasobów lub funkcji bez konieczności posiadania ważnej sesji. Dodatkowo możliwe jest HTTP Response Splitting, co może prowadzić do wstrzyknięcia złośliwych nagłówków HTTP.
Atakujący zdalny, nieuwierzytelniony może ominąć mechanizmy autoryzacji, uzyskać dostęp do chronionych funkcji administracyjnych oraz potencjalnie przejąć kontrolę nad aplikacją — naruszając poufność, integralność i dostępność systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Uwaga: producent (Inrove Software and Internet Services) nie odpowiedział na zgłoszenie podatności przed jej ujawnieniem — w przypadku braku oficjalnej łatki zaleca się rozważenie tymczasowego odłączenia systemu od Internetu lub wdrożenia reguł firewall blokujących nieautoryzowany dostęp do krytycznych ścieżek aplikacji do czasu wydania aktualizacji.
BiEticaret CMS w wersjach od 2.1.13 do 19022026 (włącznie).
Producent BiEticaret CMS został powiadomiony o podatności przed jej ujawnieniem, jednak nie udzielił żadnej odpowiedzi. Podatność zgłoszona i opublikowana przez turecką jednostkę USOM (TR-26-0077).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H