Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu SmodBIP
10 października 2023 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2023- 4837
Data publikacji 10 października 2023
Producent podatnego oprogramowania Jan Syski
Nazwa podatnego oprogramowania SmodBIP
Podatne wersje Wszystkie
Typ podatności (CWE) Cross-Site Request Forgery (CWE-352)
Źródło zgłoszenia Badania własne

Opis podatności

CERT Polska w ramach badań własnych znalazł podatność typu Cross-Site Request Forgery (CSRF) w oprogramowaniu SmodBIP, której nadano identyfikator CVE-2023-4837. Atakujący może spreparować link, który gdy zostanie kliknięty przez administratora, wykona dowolną operację z jego uprawnieniami. Może to być na przykład dodanie drugiego konta administratora, dzięki czemu atakujący uzyska pełen dostęp administracyjny do serwisu.

SmodBIP nie jest już utrzymywany i nie należy oczekiwać, aby ta luka w zabezpieczeniach została usunięta. Podatne są potencjalnie wszystkie wersje oprogramowania – testy przeprowadzone zostały na najnowszej, tj. 2.21.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.