Podatność w aplikacji webowej umożliwia zwykłemu użytkownikowi eskalację uprawnień do poziomu super administratora poprzez manipulację parametrami żądania. Zagrożenie jest krytyczne, ponieważ atakujący z podstawowym kontem może uzyskać pełną kontrolę nad wrażliwymi danymi aplikacji.
▸ Pokaż oryginał (EN)
A vulnerability in the web application allows standard users to escalate their privileges to those of a super administrator through parameter manipulation, enabling them to access and modify sensitive information.
Aplikacja webowa nie weryfikuje prawidłowo uprawnień użytkownika po stronie serwera, polegając na parametrach przekazywanych przez klienta. Zalogowany użytkownik o standardowych uprawnieniach może zmodyfikować określone parametry w żądaniu HTTP (np. w ciele żądania, nagłówkach lub URL), aby aplikacja potraktowała go jako super administratora. Jest to typowy przypadek błędu CWE-1220 (Insufficient Granularity of Access Control), gdzie kontrola dostępu nie jest wystarczająco precyzyjna i rygorystyczna.
Atakujący z podstawowym kontem użytkownika może uzyskać uprawnienia super administratora, co pozwala mu na dostęp do wrażliwych informacji oraz ich modyfikację bez autoryzacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie weryfikacji uprawnień wyłącznie po stronie serwera, niezależnej od parametrów dostarczanych przez użytkownika.
Wersje wskazane w referencjach producenta
Referencje wskazują na publiczne repozytorium GitHub (Penguinsecq/CVE-2026-6356), co sugeruje dostępność publicznego materiału dotyczącego podatności. Nazwa produktu nie została ujawniona w opisie.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:NAugmentt
APPAugmentt< 2025-10-02