CRITICAL🇵🇱 Wersja polska

CVE-2020-13963

CVSS 9.8v3.1pub. 2021-03-21upd. 2024-11-21

SOPlanning before 1.47 has Incorrect Access Control because certain secret key information, and the related authentication algorithm, is public. The key for admin is hardcoded in the installation code, and there is no key for publicsp (which is a guest account).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Soplanning

    APP
    Soplanning
    1.45 – 1.47 (bez)
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
CWE
References

Related vulnerabilities

CVE-2024-57169CRITICAL9.8PL ✓ten sam produkt

SOPlanning 1.53.00 — ominięcie ograniczeń przesyłania plików prowadzące do RCE

CVE-2024-9574CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SOPlanning — dostęp do całej bazy danych

CVE-2024-27115CRITICAL10.0PL ✓ten sam produkt

Nieuwierzytelniony RCE w SO Planning — nieograniczony upload plików

CVE-2024-27112CRITICAL9.3PL ✓ten sam produkt

SQL Injection w SO Planning — dostęp do bazy bez uwierzytelnienia

CVE-2024-27113CRITICAL9.3PL ✓ten sam produkt

IDOR w SO Planning umożliwia nieuwierzytelniony eksport bazy danych