CRITICAL🇬🇧 English

CVE-2026-5652

IDOR w Crafty Controller — nieautoryzowana modyfikacja kont użytkowników

CVSS 9.0v3.1pub. 2026-04-21upd. 2026-04-27

Podatność typu Insecure Direct Object Reference (IDOR) w komponencie Users API aplikacji Crafty Controller umożliwia zdalnemu, uwierzytelnionemu atakującemu wykonywanie nieautoryzowanych operacji modyfikacji użytkowników. Błąd został oceniony jako krytyczny z wynikiem CVSS 9.0.

Pokaż oryginał (EN)

An insecure direct object reference vulnerability in the Users API component of Crafty Controller allows a remote, authenticated attacker to perform user modification actions via improper API permissions validation.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji uprawnień w API zarządzania użytkownikami. Atakujący posiadający konto w systemie może wysyłać żądania API bezpośrednio odwołujące się do obiektów (kont użytkowników) innych niż te, do których powinien mieć dostęp. Brak właściwej kontroli autoryzacji po stronie serwera pozwala na ominięcie ograniczeń wynikających z przypisanej roli i wykonanie operacji modyfikacji na dowolnym koncie użytkownika.

Skutki

Atakujący może zmodyfikować dane innych użytkowników systemu, w tym potencjalnie konta administratorów, co może prowadzić do przejęcia kontroli nad systemem, eskalacji uprawnień lub naruszenia integralności i poufności zarządzanych zasobów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://gitlab.com/crafty-controller/crafty-4/-/work_items/705). Zaleca się ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych sieci oraz regularny przegląd uprawnień kont użytkowników do czasu wdrożenia poprawki.

Kogo dotyczy

Craftycontrol Crafty Controller — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L
  • Craftycontrol Crafty Controller

    APP
    Craftycontrol
    < 4.10.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
IDOR
CWE
Referencje

Powiązane podatności

CVE-2026-0963CRITICAL9.9PL ✓ten sam produkt

Path Traversal umożliwiający RCE w Crafty Controller (File Operations API)

CVE-2025-14700CRITICAL9.9PL ✓ten sam produkt

RCE przez Server Side Template Injection w Crafty Controller (Webhook Template)

CVE-2026-0805HIGH8.2ten sam produkt

An input neutralization vulnerability in the Backup Configuration component of Crafty Controller allows a remo...

CVE-2025-14701HIGH7.1ten sam produkt

An input neutralization vulnerability in the Server MOTD component of Crafty Controller allows a remote, unaut...

CVE-2025-5990HIGH7.6ten sam produkt

An input neutralization vulnerability in the Server Name form and API Key form components of Crafty Controller...