Katalog CVE

CVE-2025-51682

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 - wyżej niż 30% wszystkich znanych CVE

Streszczenie

Podatność w mJobtime 15.7.2 polega na obsłudze autoryzacji po stronie klienta, co umożliwia atakującemu modyfikację kodu klienckiego i uzyskanie dostępu do funkcji administracyjnych. Dodatkowo atakujący może tworzyć żądania na podstawie kodu klienckiego, aby bezpośrednio wywoływać te funkcje.

Ocena ryzyka

Ryzyko dla organizacji obejmuje nieautoryzowany dostęp do panelu administracyjnego, co może prowadzić do eskalacji uprawnień, kradzieży danych lub przejęcia kontroli nad systemem mJobtime.

Rekomendacja

Należy natychmiast zaktualizować mJobtime do wersji, w której autoryzacja jest realizowana po stronie serwera, oraz wdrożyć mechanizmy walidacji żądań po stronie backendu.

Oryginalny opis (angielski, źródło NVD)

mJobtime 15.7.2 handles authorization on the client side, which allows an attacker to modify the client-side code and gain access to administrative features. Additionally, they can craft requests based on the client-side code to call these administrative functions directly.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS