← volver
CVE-2024-12483

Dromara UJCMS User ID id authorization

CVSS 6.3 MEDIUMEPSS 3.4%CWE-285CWE-639
En resumen

Una falla en Dromara UJCMS permite que atacantes eludan controles de autorización al acceder a información de usuarios a través del endpoint /users/id. Esto significa que un atacante podría ver datos de usuarios sin tener permiso para hacerlo.

Detalle técnico

Existe una vulnerabilidad de bypass de autorización en el componente User ID Handler de Dromara UJCMS hasta la versión 9.6.3 afectando el endpoint /users/id. La falla resulta de un control de acceso inadecuado (CWE-285, CWE-639), permitiendo que atacantes remotos eludan mecanismos de autenticación; la explotación exitosa requiere complejidad moderada de ataque y precondiciones específicas, pero podría llevar a acceso no autorizado a recursos de usuarios.

Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability classified as problematic has been found in Dromara UJCMS up to 9.6.3. This affects an unknown part of the file /users/id of the component User ID Handler. The manipulation leads to authorization bypass. It is possible to initiate the attack remotely. The complexity of an attack is rather high. The exploitability is told to be difficult. The exploit has been disclosed to the public and may be used.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Productos afectados
Dromara · UJCMS
PoCs públicas encontradas2
cve_referencegithub.com/cydtseng/Vulnerability-Research/blob/main/ujcms/IDOR-UsernameEnumeration.mdno verificadoexploitdbwww.exploit-db.com/exploits/52264no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/cydtseng/Vulnerability-Research/blob/main/ujcms/IDOR-UsernameEnumeration.mdhttps://vuldb.com/?ctiid.287865https://vuldb.com/?id.287865https://vuldb.com/?submit.458895