CVE-2025-1107
CriticalSummary
W Janto, w wersjach przed r12, występuje niezweryfikowana podatność na zmianę hasła. Atakujący bez uwierzytelnienia może zmienić hasło innego użytkownika, nie znając jego aktualnego hasła, wysyłając odpowiednie żądanie POST do punktu końcowego '/public/cgi/Gateway.php'.
Risk Assessment
Podatność ta stwarza ryzyko nieautoryzowanego dostępu do kont użytkowników, co może prowadzić do utraty danych lub przejęcia kontroli nad kontami. Organizacje powinny być świadome potencjalnych zagrożeń związanych z bezpieczeństwem użytkowników.
Recommendation
Zaleca się aktualizację Janto do wersji r12 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak weryfikacja tożsamości przed zmianą hasła.
Original NVD description (English source)
Unverified password change vulnerability in Janto, versions prior to r12. This could allow an unauthenticated attacker to change another user's password without knowing their current password. To exploit the vulnerability, the attacker must create a specific POST request and send it to the endpoint ‘/public/cgi/Gateway.php’.

