CRITICAL🇬🇧 English

CVE-2026-6356

Privilege escalation do poziomu super administratora przez manipulację parametrami

CVSS 9.6v3.1pub. 2026-04-22upd. 2026-05-12

Podatność w aplikacji webowej umożliwia zwykłemu użytkownikowi eskalację uprawnień do poziomu super administratora poprzez manipulację parametrami żądania. Zagrożenie jest krytyczne, ponieważ atakujący z podstawowym kontem może uzyskać pełną kontrolę nad wrażliwymi danymi aplikacji.

Pokaż oryginał (EN)

A vulnerability in the web application allows standard users to escalate their privileges to those of a super administrator through parameter manipulation, enabling them to access and modify sensitive information.

🤖 Analiza AI
Jak działa

Aplikacja webowa nie weryfikuje prawidłowo uprawnień użytkownika po stronie serwera, polegając na parametrach przekazywanych przez klienta. Zalogowany użytkownik o standardowych uprawnieniach może zmodyfikować określone parametry w żądaniu HTTP (np. w ciele żądania, nagłówkach lub URL), aby aplikacja potraktowała go jako super administratora. Jest to typowy przypadek błędu CWE-1220 (Insufficient Granularity of Access Control), gdzie kontrola dostępu nie jest wystarczająco precyzyjna i rygorystyczna.

Skutki

Atakujący z podstawowym kontem użytkownika może uzyskać uprawnienia super administratora, co pozwala mu na dostęp do wrażliwych informacji oraz ich modyfikację bez autoryzacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie weryfikacji uprawnień wyłącznie po stronie serwera, niezależnej od parametrów dostarczanych przez użytkownika.

Kogo dotyczy

Wersje wskazane w referencjach producenta

Uwagi

Referencje wskazują na publiczne repozytorium GitHub (Penguinsecq/CVE-2026-6356), co sugeruje dostępność publicznego materiału dotyczącego podatności. Nazwa produktu nie została ujawniona w opisie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Augmentt

    APP
    Augmentt
    < 2025-10-02
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-6355MEDIUM6.5ten sam produkt

A vulnerability in the web application allows unauthorized users to access and manipulate sensitive data acros...