4 results (0.005 seconds)

CVSS: 8.8EPSS: 0%CPEs: 42EXPL: 0

The application suffers from a privilege escalation vulnerability. A user with read permissions can elevate privileges by sending a HTTP POST to set a parameter. La aplicación sufre una vulnerabilidad de escalada de privilegios. Un usuario con permisos de lectura puede elevar sus privilegios enviando un HTTP POST para establecer un parámetro. • https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-08 https://www.sielco.org/en/contacts • CWE-267: Privilege Defined With Unsafe Actions CWE-269: Improper Privilege Management •

CVSS: 6.5EPSS: 0%CPEs: 42EXPL: 0

The application suffers from improper access control when editing users. A user with read permissions can manipulate users, passwords, and permissions by sending a single HTTP POST request with modified parameters. La aplicación adolece de un control de acceso inadecuado a la hora de editar usuarios. Un usuario con permisos de lectura puede manipular usuarios, contraseñas y permisos enviando una única solicitud HTTP POST con parámetros modificados. • https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-08 https://www.sielco.org/en/contacts • CWE-284: Improper Access Control •

CVSS: 8.8EPSS: 0%CPEs: 42EXPL: 0

The application interface allows users to perform certain actions via HTTP requests without performing any validity checks to verify the requests. This can be exploited to perform certain actions with administrative privileges if a logged-in user visits a malicious web site. La interfaz de la aplicación permite a los usuarios realizar ciertas acciones a través de solicitudes HTTP sin realizar ninguna verificación de validez para verificar las solicitudes. Esto se puede aprovechar para realizar determinadas acciones con privilegios administrativos si un usuario que ha iniciado sesión visita un sitio web malicioso. • https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-08 https://www.sielco.org/en/contacts • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 9.8EPSS: 0%CPEs: 42EXPL: 0

The cookie session ID is of insufficient length and can be exploited by brute force, which may allow a remote attacker to obtain a valid session, bypass authentication, and manipulate the transmitter. El ID de sesión de la cookie tiene una longitud insuficiente y puede explotarse mediante fuerza bruta, lo que puede permitir a un atacante remoto obtener una sesión válida, omitir la autenticación y manipular el transmisor. • https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-08 https://www.sielco.org/en/contacts • CWE-284: Improper Access Control CWE-307: Improper Restriction of Excessive Authentication Attempts •