Нарушенная авторизация на уровне объекта (BOLA) в конечной точке /Settings/UserController.php Webkul Krayin CRM v2.2.x позволяет прошедшим проверку подлинности злоумышленникам произвольно сбрасывать пароли пользователей и выполнять полный захват учетной записи путем предоставления специально созданного HTTP-запроса.
Показать оригинальное описание (EN)
A Broken Object-Level Authorization (BOLA) in the /Settings/UserController.php endpoint of Webkul Krayin CRM v2.2.x allows authenticated attackers to arbitrarily reset user passwords and perform a full account takeover via supplying a crafted HTTP request.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1