EspoCRM 5.8.5 содержит уязвимость аутентификации, которая позволяет злоумышленникам получить доступ к учетным записям других пользователей путем манипулирования заголовками авторизации. Злоумышленники могут декодировать и модифицировать токены базовой авторизации и Espo-Authorization, чтобы получить несанкционированный доступ к административной информации и привилегиям пользователей.
Показать оригинальное описание (EN)
EspoCRM 5.8.5 contains an authentication vulnerability that allows attackers to access other user accounts by manipulating authorization headers. Attackers can decode and modify Basic Authorization and Espo-Authorization tokens to gain unauthorized access to administrative user information and privileges.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0