CVE-2025-10696
MediumCVSS 5.4Summary
OpenSupports udostępnia punkt końcowy, który pozwala na edytowanie listy 'nadzorowanych użytkowników' dla dowolnego konta, nie weryfikując, czy aktor jest właścicielem tej listy. Pracownik na poziomie 1 może zmodyfikować relację nadzoru innej osoby, co pozwala jej na przeglądanie zgłoszeń dodanych 'nadzorowanych' użytkowników.
Risk Assessment
To naruszenie modelu autoryzacji umożliwia nieautoryzowany dostęp do zgłoszeń innych użytkowników, co może prowadzić do wycieku poufnych informacji w organizacji.
Recommendation
Zaleca się wprowadzenie dodatkowej walidacji, aby upewnić się, że tylko właściciele listy mogą ją edytować oraz przeglądać zgłoszenia nadzorowanych użytkowników.
Original NVD description (English source)
OpenSupports exposes an endpoint that allows the list of 'supervised users' for any account to be edited, but it does not validate whether the actor is the owner of that list. A Level 1 staff member can modify the supervision relationship of a third party (the target user), who can then view the tickets of the added 'supervised' users. This breaks the authorization model and filters the content of other users' tickets.This issue affects OpenSupports: 4.11.0.

