Специалисты компании Trustwave объявили об обнаружении критической уязвимости в популярной CMS Umbraco. В сообщении экспертов по кибербезопасности говорится о проблеме повышения привилегий, с помощью которой пользователи с невысокими привилегиями имеют возможность получить администраторские права.
Найденная уязвимость связана с конечной точкой API, которая неправильно осуществляет процесс проверки авторизации пользователя перед возвратом обнаруженных результатов в разделе ведения журнала приложения.
В CMS Umbraco пользователи с высокими привилегиями имеют возможность просмотра данных журнала в администраторском пользовательском интерфейсе, содержащем любую информацию, добавленную в журналы приложений. Для проверки риска утечки этой информации администратор создает пользователя с низкими привилегиями, относящегося к группе Writers.
Пользователь с низкими привилегиями может аутентифицироваться в приложении, получить требуемые файлы cookie и заголовки для доступа к нему. Идентификаторы позволяют пользователю с низкими привилегиями получить доступ к конечной точке API, которая возвращает данные журнала, доступные только для администратора.
Специалисты компании Trustwave установили, что причина уязвимости заключается в том, что Umbraco.Web.dll класс LogViewerController не применяет детализированные атрибуты авторизации в своих открытых конечных точках, поэтому многочисленные конечные точки доступны для пользователей с низкими привилегиями.
CMS Umbraco – система управления контентом с открытым исходным кодом. Она написана на C# и развернута на базе инфраструктуры Microsoft. Umbraco была разработана Нильсом Хартвигом в 2000 году и выпущена в качестве программного обеспечения с открытым исходным кодом в 2004 году. В 2009 году издание Wire охарактеризовало CMS Umbraco как одну из ведущих систем управления контентом с открытым исходным кодом на основе .NET.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
