Katalog CVE

CVE-2025-52024

KrytyczneCVSS 9.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.41%

Percentyl 33 - wyżej niż 33% wszystkich znanych CVE

Streszczenie

Podatność w module Web Services platformy Aptsys POS do 2025-05-28 ujawnia wewnętrzne narzędzia testowania API nieuwierzytelnionym użytkownikom. Poprzez dostęp do konkretnych URL-i atakujący widzi indeks katalogu z listą wszystkich dostępnych usług backendowych i POS, każdą z formularzem HTML do testowania. Te panele, przeznaczone dla programistów, są dostępne w środowiskach produkcyjnych bez uwierzytelniania.

Ocena ryzyka

Ryzyko polega na umożliwieniu atakującemu odkrycia, przetestowania i wykonania krytycznych endpointów API, takich jak pobieranie transakcji użytkowników, korekty kredytowe, akcje POS i zapytania do danych wewnętrznych, co może prowadzić do naruszenia poufności i integralności danych.

Rekomendacja

Należy natychmiast wyłączyć dostęp do narzędzi testujących API w środowisku produkcyjnym, wymusić uwierzytelnianie dla wszystkich endpointów API oraz ograniczyć dostęp do modułu Web Services tylko dla zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

A vulnerability exists in the Aptsys POS Platform Web Services module thru 2025-05-28, which exposes internal API testing tools to unauthenticated users. By accessing specific URLs, an attacker is presented with a directory-style index listing all available backend services and POS web services, each with an HTML form for submitting test input. These panels are intended for developer use, but are accessible in production environments with no authentication or session validation. This grants any external actor the ability to discover, test, and execute API endpoints that perform critical functions including but not limited to user transaction retrieval, credit adjustments, POS actions, and internal data queries.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS