CRITICAL🇬🇧 English

CVE-2026-34406

APTRS: privilege escalation do superusera przez endpoint edycji użytkownika

CVSS 9.4v4.0pub. 2026-03-31upd. 2026-04-10

W systemie APTRS (Automated Penetration Testing Reporting System) w wersji przed 2.0.1 każdy uwierzytelniony użytkownik mający dostęp do endpointu edycji konta mógł nadać sobie (lub innemu kontu) uprawnienia superusera. Jest to krytyczna luka privilege escalation umożliwiająca przejęcie pełnej kontroli nad aplikacją.

Pokaż oryginał (EN)

APTRS (Automated Penetration Testing Reporting System) is a Python and Django-based automated reporting tool designed for penetration testers and security organizations. Prior to version 2.0.1, the edit_user endpoint (POST /api/auth/edituser/<pk>) allows Any user who can reach that endpoint and submit crafted permission to escalate their own account (or any other account) to superuser by including "is_superuser": true in the request body. The root cause is that CustomUserSerializer explicitly includes is_superuser in its fields list but omits it from read_only_fields, making it a writable field. The edit_user view performs no additional validation to prevent non-superusers from modifying this field. Once is_superuser is set to true, gaining unrestricted access to all application functionality without requiring re-authentication. This issue has been patched in version 2.0.1.

🤖 Analiza AI
Jak działa

Endpoint POST /api/auth/edituser/<pk> obsługiwany jest przez klasę CustomUserSerializer, która jawnie umieszcza pole is_superuser na liście pól serializera, lecz nie oznacza go jako read_only_field. W efekcie pole to jest zapisywalne przez każdego użytkownika, który może wywołać ten endpoint. Widok edit_user nie przeprowadza żadnej dodatkowej weryfikacji, czy osoba wysyłająca żądanie posiada uprawnienia do modyfikacji tego pola. Wystarczy umieścić w ciele żądania wartość "is_superuser": true, aby natychmiast uzyskać uprawnienia administratora bez konieczności ponownego uwierzytelnienia.

Skutki

Atakujący uzyskuje nieograniczony dostęp do wszystkich funkcji aplikacji APTRS na poziomie superusera, co w praktyce oznacza pełne przejęcie systemu raportowania testów penetracyjnych, w tym dostęp do wrażliwych danych klientów i raportów bezpieczeństwa.

Mitygacja

Należy zaktualizować APTRS do wersji 2.0.1, w której problem został rozwiązany poprzez poprawne oznaczenie pola is_superuser jako read_only w serializerze. Patch dostępny jest w repozytorium GitHub pod tagiem 2.0.1.

Kogo dotyczy

APTRS (Automated Penetration Testing Reporting System) w wersjach przed 2.0.1

Uwagi

Podatność sklasyfikowana jako CWE-915 (Improperly Controlled Modification of Dynamically-Determined Object Attributes). Dotyczy narzędzia używanego przez zespoły security do raportowania testów penetracyjnych, co oznacza potencjalną ekspozycję wrażliwych danych klientów i wyników audytów bezpieczeństwa.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Aptrs

    APP
    Aptrs
    < 2.0.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje