CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-54450

Critical
Published: Translated: NVD NIST

Summary

W aplikacji Kurmi Provisioning Suite w wersji 7.9.0.33 odkryto problem związany z nagłówkiem X-Forwarded-For. Podczas uwierzytelniania aplikacja może zarejestrować fałszywy adres IP z tego nagłówka zamiast rzeczywistego adresu IP użytkownika.

Risk Assessment

Fałszywy adres IP może prowadzić do nieprawidłowego śledzenia aktywności użytkowników oraz utrudniać identyfikację rzeczywistych źródeł logowania, co zwiększa ryzyko nadużyć.

Recommendation

Zaleca się weryfikację i filtrowanie nagłówków X-Forwarded-For przed ich użyciem w aplikacji, aby zapewnić, że rejestrowany jest tylko rzeczywisty adres IP użytkownika.

Original NVD description (English source)

An issue was discovered in Kurmi Provisioning Suite 7.9.0.33. If an X-Forwarded-For header is received during authentication, the Kurmi application will record the (possibly forged) IP address mentioned in that header rather than the real IP address that the user logged in from. This fake IP address can later be displayed in the My Account popup that shows the IP address that was used to log in.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS