Podatność typu Insecure Direct Object Reference (IDOR) w komponencie Users API aplikacji Crafty Controller umożliwia zdalnemu, uwierzytelnionemu atakującemu wykonywanie nieautoryzowanych operacji modyfikacji użytkowników. Błąd został oceniony jako krytyczny z wynikiem CVSS 9.0.
▸ Pokaż oryginał (EN)
An insecure direct object reference vulnerability in the Users API component of Crafty Controller allows a remote, authenticated attacker to perform user modification actions via improper API permissions validation.
Podatność wynika z nieprawidłowej walidacji uprawnień w API zarządzania użytkownikami. Atakujący posiadający konto w systemie może wysyłać żądania API bezpośrednio odwołujące się do obiektów (kont użytkowników) innych niż te, do których powinien mieć dostęp. Brak właściwej kontroli autoryzacji po stronie serwera pozwala na ominięcie ograniczeń wynikających z przypisanej roli i wykonanie operacji modyfikacji na dowolnym koncie użytkownika.
Atakujący może zmodyfikować dane innych użytkowników systemu, w tym potencjalnie konta administratorów, co może prowadzić do przejęcia kontroli nad systemem, eskalacji uprawnień lub naruszenia integralności i poufności zarządzanych zasobów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://gitlab.com/crafty-controller/crafty-4/-/work_items/705). Zaleca się ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych sieci oraz regularny przegląd uprawnień kont użytkowników do czasu wdrożenia poprawki.
Craftycontrol Crafty Controller — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:LCraftycontrol Crafty Controller
APPCraftycontrol< 4.10.4
Powiązane podatności
Path Traversal umożliwiający RCE w Crafty Controller (File Operations API)
RCE przez Server Side Template Injection w Crafty Controller (Webhook Template)
An input neutralization vulnerability in the Backup Configuration component of Crafty Controller allows a remo...
An input neutralization vulnerability in the Server MOTD component of Crafty Controller allows a remote, unaut...
An input neutralization vulnerability in the Server Name form and API Key form components of Crafty Controller...