CVE-2025-51682
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 - wyżej niż 30% wszystkich znanych CVE
Streszczenie
Podatność w mJobtime 15.7.2 polega na obsłudze autoryzacji po stronie klienta, co umożliwia atakującemu modyfikację kodu klienckiego i uzyskanie dostępu do funkcji administracyjnych. Dodatkowo atakujący może tworzyć żądania na podstawie kodu klienckiego, aby bezpośrednio wywoływać te funkcje.
Ocena ryzyka
Ryzyko dla organizacji obejmuje nieautoryzowany dostęp do panelu administracyjnego, co może prowadzić do eskalacji uprawnień, kradzieży danych lub przejęcia kontroli nad systemem mJobtime.
Rekomendacja
Należy natychmiast zaktualizować mJobtime do wersji, w której autoryzacja jest realizowana po stronie serwera, oraz wdrożyć mechanizmy walidacji żądań po stronie backendu.
Oryginalny opis (angielski, źródło NVD)
mJobtime 15.7.2 handles authorization on the client side, which allows an attacker to modify the client-side code and gain access to administrative features. Additionally, they can craft requests based on the client-side code to call these administrative functions directly.

