CVE-2025-12868

CyberTutor｜New Site Server - Use of Client-Side Authentication

CVSS 9.3 CRITICALEPSS 0.5%CWE-603

En resumen

El New Site Server de CyberTutor verifica la autenticación solo en el navegador, no en el servidor. Los atacantes pueden eludir esto modificando el código del sitio para obtener acceso de administrador sin credenciales válidas.

Detalle técnico

La vulnerabilidad CWE-603 de autenticación del lado del cliente permite que atacantes remotos no autenticados modifiquen la lógica de autenticación en el frontend (mediante herramientas del navegador o interceptación de proxy) para elevar privilegios a nivel de administrador. El servidor carece de validación de autenticación del lado del servidor, permitiendo escalada de privilegios sin comprometer credenciales.

Resumen generado y traducido por IA a partir de la descripción oficial.

New Site Server developed by CyberTutor has a Use of Client-Side Authentication vulnerability, allowing unauthenticated remote attackers to modify the frontend code to gain administrator privileges on the website.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

CyberTutor · New Site Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.twcert.org.tw/en/cp-139-10492-84a10-2.html https://www.twcert.org.tw/tw/cp-132-10493-bf807-1.html