megagao Production_ssm v1.0 содержит уязвимость обхода авторизации в функции добавления пользователей. В методе Insert() в UserController.java отсутствуют проверки аутентификации, что позволяет злоумышленникам, не прошедшим проверку подлинности, создавать учетные записи суперадминистратора путем прямого доступа к конечной точке /user/insert. Это приводит к полной компрометации системы.
Показать оригинальное описание (EN)
megagao production_ssm v1.0 contains an authorization bypass vulnerability in the user addition functionality. The insert() method in UserController.java lacks authentication checks, allowing unauthenticated attackers to create super administrator accounts by directly accessing the /user/insert endpoint. This leads to complete system compromise.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1