CVE-2020-8495

CVSS 7.5 HIGHEPSS 3.1%

In Kronos Web Time and Attendance (webTA) 3.8.x and later 3.x versions before 4.0, the com.threeis.webta.H491delegate servlet allows an attacker with Timekeeper or Supervisor privileges to gain unauthorized administrative privileges within the application via the delegate, delegateRole, and delegatorUserId parameters.

CVSS:3.0/AC:H/AV:N/A:H/C:H/I:H/PR:L/S:U/UI:N

Produtos afetados

n/a · n/a

PoCs públicas encontradas — 2

cve_referencepacketstormsecurity.com/files/156215/Kronos-WebTA-4.0-Privilege-Escalation-Cross-Site-Scripting.htmlnão verificado exploitdbwww.exploit-db.com/exploits/48001não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://packetstormsecurity.com/files/156215/Kronos-WebTA-4.0-Privilege-Escalation-Cross-Site-Scripting.html https://www.kronos.com/products/kronos-webta http://www.nolanbkennedy.com/post/privilege-escalation-in-kronos-web-time-and-attendance-webta