Podatność CVE-2021-29452


Publikacja: 2021-04-16   Modyfikacja: 2021-04-17

Opis:
a12n-server is an npm package which aims to provide a simple authentication system. A new HAL-Form was added to allow editing users in version 0.18.0. This feature should only have been accessible to admins. Unfortunately, privileges were incorrectly checked allowing any logged in user to make this change. Patched in v0.18.2.

Typ:

CWE-269

(Improper Privilege Management)

CVSS2 => (AV:N/AC:L/Au:S/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4/10
2.9/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Curveballjs -> A12n-server 

 Referencje:
https://www.npmjs.com/package/@curveball/a12n-server
https://github.com/curveball/a12n-server/security/advisories/GHSA-8hw9-22v6-9jr9

Copyright 2024, cxsecurity.com

 

Back to Top