Нарушенная авторизация на уровне объекта (BOLA) в конечной точке /Controllers/Lead/LeadController.php Webkul Krayin CRM v2.2.x позволяет аутентифицированным злоумышленникам произвольно читать, изменять и безвозвратно удалять любые интересы, принадлежащие другим пользователям, посредством предоставления созданного запроса GET.
Показать оригинальное описание (EN)
A Broken Object-Level Authorization (BOLA) in the /Controllers/Lead/LeadController.php endpoint of Webkul Krayin CRM v2.2.x allows authenticated attackers to arbitrarily read, modify, and permanently delete any lead owned by other users via supplying a crafted GET request.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1