CVE-2025-63293
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 - wyżej niż 26% wszystkich znanych CVE
Streszczenie
Wtyczka FairSketch Rise Ultimate Project Manager & CRM w wersji 3.9.4 zawiera podatność związaną z nieprawidłowymi uprawnieniami. Zdalny, uwierzytelniony użytkownik może dodawać komentarze lub przesyłać załączniki do zgłoszeń, do których nie ma uprawnień odczytu ani edycji, z powodu braku kontroli autoryzacji w API zgłoszeń i komentarzy.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane modyfikacje zgłoszeń, co może prowadzić do naruszenia poufności i integralności danych, a także do eskalacji uprawnień przez zwykłych użytkowników.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę FairSketch Rise Ultimate Project Manager & CRM do najnowszej dostępnej wersji, która zawiera poprawki zabezpieczeń. Jeśli aktualizacja nie jest możliwa, należy tymczasowo ograniczyć dostęp do API zgłoszeń dla nieuprawnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
FairSketch Rise Ultimate Project Manager & CRM 3.9.4 is vulnerable to Insecure Permissions. A remote authenticated user can append comments or upload attachments to tickets for which they lack view or edit authorization, due to missing authorization checks in the ticketing/commenting API.

