← voltar
CVE-2024-12483

Dromara UJCMS User ID id authorization

CVSS 6.3 MEDIUMEPSS 3.4%CWE-285CWE-639
Em resumo

Uma falha no Dromara UJCMS permite que invasores contornem verificações de autorização ao acessar informações de usuários através do endpoint /users/id. Isso significa que um atacante pode conseguir visualizar dados de usuários sem ter permissão para isso.

Detalhe técnico

Uma vulnerabilidade de bypass de autorização existe no componente User ID Handler do Dromara UJCMS até a versão 9.6.3, afetando o endpoint /users/id. A falha decorre de controle de acesso inadequado (CWE-285, CWE-639), permitindo que atacantes remotos contornem mecanismos de autenticação; a exploração bem-sucedida requer complexidade moderada de ataque e pré-condições específicas, mas pode levar a acesso não autorizado a recursos de usuários.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability classified as problematic has been found in Dromara UJCMS up to 9.6.3. This affects an unknown part of the file /users/id of the component User ID Handler. The manipulation leads to authorization bypass. It is possible to initiate the attack remotely. The complexity of an attack is rather high. The exploitability is told to be difficult. The exploit has been disclosed to the public and may be used.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Produtos afetados
Dromara · UJCMS
PoCs públicas encontradas2
cve_referencegithub.com/cydtseng/Vulnerability-Research/blob/main/ujcms/IDOR-UsernameEnumeration.mdnão verificadoexploitdbwww.exploit-db.com/exploits/52264não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/cydtseng/Vulnerability-Research/blob/main/ujcms/IDOR-UsernameEnumeration.mdhttps://vuldb.com/?ctiid.287865https://vuldb.com/?id.287865https://vuldb.com/?submit.458895