| CVE ID | CVE-2023- 4837 |
| Data publikacji | 10 października 2023 |
| Producent podatnego oprogramowania | Jan Syski |
| Nazwa podatnego oprogramowania | SmodBIP |
| Podatne wersje | Wszystkie |
| Typ podatności (CWE) | Cross-Site Request Forgery (CWE-352) |
| Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł podatność typu Cross-Site Request Forgery (CSRF) w oprogramowaniu SmodBIP, której nadano identyfikator CVE-2023-4837. Atakujący może spreparować link, który gdy zostanie kliknięty przez administratora, wykona dowolną operację z jego uprawnieniami. Może to być na przykład dodanie drugiego konta administratora, dzięki czemu atakujący uzyska pełen dostęp administracyjny do serwisu.
SmodBIP nie jest już utrzymywany i nie należy oczekiwać, aby ta luka w zabezpieczeniach została usunięta. Podatne są potencjalnie wszystkie wersje oprogramowania – testy przeprowadzone zostały na najnowszej, tj. 2.21.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.