PT-2025-47338 · Unknown · Open Source Point Of Sale
Omkaryepre
·
Publicado
2025-11-18
·
Atualizado
2025-11-19
·
CVE-2025-63800
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Open Source Point of Sale versão 3.4.1
Descrição
A funcionalidade de alteração de senha possui uma falha onde um usuário pode definir uma senha vazia devido à falta de validação no lado do servidor. Omitir ou fornecer valores vazios para os parâmetros
password e repeat password em uma solicitação de alteração de senha resulta em uma resposta bem-sucedida e na definição de uma senha vazia. Isso contorna a autenticação e potencialmente permite acesso não autorizado a contas de usuário ou administrativas. O endpoint de API vulnerável é o endpoint de alteração de senha.Recomendações
Aplique uma correção que imponha validação no lado do servidor para prevenir a definição de uma senha vazia.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Open Source Point Of Sale