CVE ID | CVE-2025-1542 |
Data publikacji | 26 marca 2025 |
Producent podatnego oprogramowania | Infonet Projekt SA |
Nazwa podatnego oprogramowania | OXARI ServiceDesk |
Podatne wersje | Wszystkie do 2.0.324.0 |
Typ podatności (CWE) | Incorrect Authorization (CWE-863) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu OXARI ServiceDesk firmy Infonet Projekt SA i koordynował proces ujawniania informacji.
Podatność CVE-2025-1542 poprzez niewłaściwą konrolę uprawnień w aplikacji OXARI ServiceDesk umożliwia atakującemu korzystającemu z konta gościa lub użytkownika o niskich uprawnieniach na uzyskanie dodatkowych uprawnień administracyjnych w aplikacji.
Podatność dotyczy wersji OXARI ServiceDesk wcześniejszych niż 2.0.324.0.
Podziękowania
Za zgłoszenie podatności dziękujemy Robertowi Jaroszukowi (Penetration Tester @ Lufthansa Systems Poland).
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.