Podatność CVE-2020-8495
Publikacja: 2020-01-30   Modyfikacja: 2020-01-31

Opis:
In Kronos Web Time and Attendance (webTA) 3.8.x and later 3.x versions before 4.0, the com.threeis.webta.H491delegate servlet allows an attacker with Timekeeper or Supervisor privileges to gain unauthorized administrative privileges within the application via the delegate, delegateRole, and delegatorUserId parameters.

Typ:

CWE-863

 (Incorrect Authorization)

CVSS2 => (AV:N/AC:M/Au:S/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6/10
6.4/10
6.8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Kronos -> Web time and attendance 

 Referencje:
http://packetstormsecurity.com/files/156215/Kronos-WebTA-4.0-Privilege-Escalation-Cross-Site-Scripting.html
http://www.nolanbkennedy.com/post/privilege-escalation-in-kronos-web-time-and-attendance-webta
https://www.kronos.com/products/kronos-webta
Copyright 2024, cxsecurity.com

 

Back to Top