Tina4 Stack 1.0.3 содержит уязвимость подделки межсайтовых запросов, которая позволяет злоумышленникам изменять учетные данные администратора, отправляя поддельные запросы POST на конечную точку профиля. Злоумышленники могут создавать HTML-формы, нацеленные на конечную точку /kim/profile, со скрытыми полями, содержащими вредоносные пользовательские данные, такие как пароли и адреса электронной почты, для обновления учетных записей администраторов без аутентификации.
Показать оригинальное описание (EN)
Tina4 Stack 1.0.3 contains a cross-site request forgery vulnerability that allows attackers to modify admin user credentials by submitting forged POST requests to the profile endpoint. Attackers can craft HTML forms targeting the /kim/profile endpoint with hidden fields containing malicious user data like passwords and email addresses to update administrator accounts without authentication.
Характеристики атаки
Последствия
Строка CVSS v4.0