Katalog CVE

CVE-2026-27012

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W OpenSTAManager w wersji 2.9.8 i wcześniejszych występuje podatność na eskalację uprawnień oraz obejście uwierzytelniania, która pozwala atakującemu na dowolną zmianę grupy użytkownika (idgruppo) poprzez bezpośrednie wywołanie modules/utenti/actions.php. Może to prowadzić do awansu konta (np. agenta) do grupy Amministratori oraz degradacji dowolnego użytkownika, w tym istniejących administratorów.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym nieautoryzowane modyfikacje uprawnień użytkowników, co może prowadzić do utraty kontroli nad systemem oraz danych.

Rekomendacja

Zaleca się aktualizację OpenSTAManager do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie dostępu do krytycznych modułów.

Oryginalny opis (angielski, źródło NVD)

OpenSTAManager is an open source management software for technical assistance and invoicing. In 2.9.8 and earlier, a privilege escalation and authentication bypass vulnerability in OpenSTAManager allows any attacker to arbitrarily change a user's group (idgruppo) by directly calling modules/utenti/actions.php. This can promote an existing account (e.g. agent) into the Amministratori group as well as demote any user including existing administrators.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS