Tina4 Stack 1.0.3 содержит уязвимость подделки межсайтовых запросов, которая позволяет злоумышленникам изменять учетные данные администратора, отправляя поддельные запросы POST на конечную точку профиля. Злоумышленники могут создавать HTML-формы, нацеленные на конечную точку /kim/profile, со скрытыми полями, содержащими вредоносные пользовательские данные, такие как пароли и адреса электронной почты, для обновления учетных записей администраторов без аутентификации.
Показать оригинальное описание (EN)
Tina4 Stack 1.0.3 contains a cross-site request forgery vulnerability that allows attackers to modify admin user credentials by submitting forged POST requests to the profile endpoint. Attackers can craft HTML forms targeting the /kim/profile endpoint with hidden fields containing malicious user data like passwords and email addresses to update administrator accounts without authentication.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Tina4 Tina4_Stack
cpe:2.3:a:tina4:tina4_stack:1.0.3:*:*:*:*:*:*:*
|
— | — |