PT-2025-16182 · Unknown · Tutorials-Website Employee Management System
Maloyroyorko
·
Publicado
2025-04-13
·
Atualizado
2025-04-13
·
CVE-2025-3536
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas:
Tutorials-Website Employee Management System versão 1.0
Descrição:
Uma questão crítica foi identificada no Tutorials-Website Employee Management System, afetando alguma funcionalidade desconhecida do arquivo /admin/delete-user.php. A manipulação do argumento
ID resulta em autorização inadequada, e o ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado sobre esta divulgação, mas não respondeu.Recomendações:
Como medida paliativa temporária, considere restringir o acesso ao arquivo /admin/delete-user.php até que uma correção esteja disponível.
Evite utilizar o argumento
ID no endpoint da API afetado até que a questão seja resolvida.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Improper Authorization
Incorrect Privilege Assignment
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tutorials-Website Employee Management System