PT-2024-12682 · Easyappointments+1 · Alextselegidis/Easyappointments+1
Jay Chen
+1
·
Publicado
2024-07-09
·
Atualizado
2024-08-26
·
CVE-2023-38048
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Não há menção a nenhum nome específico de software ou versões afetadas nas descrições fornecidas.
Descrição
Uma vulnerabilidade BOLA no endpoint “GET, PUT, DELETE /providers/{providerId}” permite que um usuário com privilégios reduzidos obtenha, modifique ou exclua um usuário com privilégios (provedor), resultando em acesso não autorizado e manipulação não autorizada de dados. A variável
providerId é usada neste endpoint vulnerável.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alextselegidis/Easyappointments
Easyappointments