Katalog CVE

CVE-2025-10696

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

OpenSupports udostępnia punkt końcowy, który pozwala na edytowanie listy 'nadzorowanych użytkowników' dla dowolnego konta, nie weryfikując, czy aktor jest właścicielem tej listy. Pracownik na poziomie 1 może zmodyfikować relację nadzoru innej osoby, co pozwala jej na przeglądanie zgłoszeń dodanych 'nadzorowanych' użytkowników.

Ocena ryzyka

To naruszenie modelu autoryzacji umożliwia nieautoryzowany dostęp do zgłoszeń innych użytkowników, co może prowadzić do wycieku poufnych informacji w organizacji.

Rekomendacja

Zaleca się wprowadzenie dodatkowej walidacji, aby upewnić się, że tylko właściciele listy mogą ją edytować oraz przeglądać zgłoszenia nadzorowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

OpenSupports exposes an endpoint that allows the list of 'supervised users' for any account to be edited, but it does not validate whether the actor is the owner of that list. A Level 1 staff member can modify the supervision relationship of a third party (the target user), who can then view the tickets of the added 'supervised' users. This breaks the authorization model and filters the content of other users' tickets.This issue affects OpenSupports: 4.11.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS