EspoCRM 5.8.5 содержит уязвимость аутентификации, которая позволяет злоумышленникам получить доступ к учетным записям других пользователей путем манипулирования заголовками авторизации. Злоумышленники могут декодировать и модифицировать токены базовой авторизации и Espo-Authorization, чтобы получить несанкционированный доступ к административной информации и привилегиям пользователей.
Показать оригинальное описание (английский)
EspoCRM 5.8.5 contains an authentication vulnerability that allows attackers to access other user accounts by manipulating authorization headers. Attackers can decode and modify Basic Authorization and Espo-Authorization tokens to gain unauthorized access to administrative user information and privileges.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X