CVE-2025-1107
KrytyczneStreszczenie
W Janto, w wersjach przed r12, występuje niezweryfikowana podatność na zmianę hasła. Atakujący bez uwierzytelnienia może zmienić hasło innego użytkownika, nie znając jego aktualnego hasła, wysyłając odpowiednie żądanie POST do punktu końcowego '/public/cgi/Gateway.php'.
Ocena ryzyka
Podatność ta stwarza ryzyko nieautoryzowanego dostępu do kont użytkowników, co może prowadzić do utraty danych lub przejęcia kontroli nad kontami. Organizacje powinny być świadome potencjalnych zagrożeń związanych z bezpieczeństwem użytkowników.
Rekomendacja
Zaleca się aktualizację Janto do wersji r12 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak weryfikacja tożsamości przed zmianą hasła.
Oryginalny opis (angielski, źródło NVD)
Unverified password change vulnerability in Janto, versions prior to r12. This could allow an unauthenticated attacker to change another user's password without knowing their current password. To exploit the vulnerability, the attacker must create a specific POST request and send it to the endpoint ‘/public/cgi/Gateway.php’.

