PT-2025-48412 · Orionsec · Orion-Ops
Sh7Err03
·
Publicado
2025-12-01
·
Atualizado
2025-12-06
·
CVE-2025-13808
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
orionsec orion-ops versões até 5925824997a3109651bbde07460958a7be249ed1
Descrição
Existe uma falha no orionsec orion-ops. O problema está relacionado à autorização inadequada causada pela manipulação do argumento
ID dentro da função update localizada no arquivo UserController.java do componente User Profile Handler. Esta manipulação pode ser realizada remotamente. Um exploit para este problema foi publicado. O fornecedor foi contatado sobre esta divulgação, mas não respondeu.Recomendações
Versões até 5925824997a3109651bbde07460958a7be249ed1 devem ser atualizadas. Como solução temporária, considere restringir o acesso à função
update dentro do arquivo UserController.java até que uma correção esteja disponível.Exploit
Correção
Improper Authorization
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Orion-Ops