CVE-2025-21611

Nome do Software Vulnerável e Versões Afetadas Versões do tgstation-server anteriores à 6.12.3

Descrição O problema envolve autorização inadequada de funções no tgstation-server, uma ferramenta de gerenciamento de servidores BYOND em escala de produção. Antes da versão 6.12.3, as funções usadas para autorizar métodos da API eram incorretamente combinadas com OU (OR) em vez de E (AND) junto à função usada para determinar se um usuário estava habilitado. Isso permite que usuários habilitados acessem a maioria, mas não todas, as ações autorizadas, independentemente de suas permissões. Vale notar que a permissão WriteUsers não é afetada, portanto os usuários não podem usar este bug para elevar permanentemente as permissões de suas contas.

Recomendações Para versões anteriores à 6.12.3, atualize para o tgstation-server-v6.12.3 para resolver o problema. Como medida paliativa temporária, considere restringir o acesso a ações autorizadas para usuários habilitados até que a atualização seja aplicada.