CVE ID | CVE-2024-6662 |
Data publikacji | 10 września 2024 |
Producent podatnego oprogramowania | Jan Syski |
Nazwa podatnego oprogramowania | MegaBIP |
Podatne wersje | Wszystkie poniżej 5.15 |
Typ podatności (CWE) | Cross-Site Request Forgery (CSRF) (CWE-352) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2024-6880 |
Data publikacji | 10 września 2024 |
Producent podatnego oprogramowania | Jan Syski |
Nazwa podatnego oprogramowania | MegaBIP |
Podatne wersje | Wszystkie poniżej 5.15 |
Typ podatności (CWE) | Insertion of Sensitive Information into Externally-Accessible File or Directory (CWE-538) |
Źródło zgłoszenia | Badania własne |
Opis podatności
Zespół CERT Polska koordynował proces ujawniania informacji o dwóch podatnościach.
Podatność CVE-2024-6662, która została zgłoszona do zespołu CERT Polska, umożliwia ataki typu Cross-Site Request Forgery (CSRF), ponieważ formularz dostępny pod adresem /edytor/index.php?id=7,7,0 nie posiada odpowiednich mechanizmów ochronnych. Użytkownik może zostać nakłoniony do odwiedzenia szkodliwej strony, która wysłałaby żądanie POST zawierającego wypełnione dane formularza do tego endpointu. Jeśli ofiara jest zalogowanym administratorem, może to doprowadzić do utworzenia nowych kont i nadania im uprawnień administracyjnych.
Zespół CERT Polska podczas własnych badań odkrył podatność CVE-2024-6880. Podczas procesu instalacji MegaBIP użytkownik jest zachęcany do zmiany domyślnej ścieżki do portalu administracyjnego, ponieważ utrzymanie jej w tajemnicy jest wymienione przez autora jako jeden z mechanizmów ochronnych. Publicznie dostępny kod źródłowy pliku /registered.php ujawnia tę ścieżkę, co umożliwia atakującemu podjęcie dalszych prób ataków.
Według informacji otrzymanych od autora, obie podatności zostały usunięte w wersji 5.15 oprogramowania MegaBIP.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.