Katalog CVE

CVE-2025-63293

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 - wyżej niż 26% wszystkich znanych CVE

Streszczenie

Wtyczka FairSketch Rise Ultimate Project Manager & CRM w wersji 3.9.4 zawiera podatność związaną z nieprawidłowymi uprawnieniami. Zdalny, uwierzytelniony użytkownik może dodawać komentarze lub przesyłać załączniki do zgłoszeń, do których nie ma uprawnień odczytu ani edycji, z powodu braku kontroli autoryzacji w API zgłoszeń i komentarzy.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane modyfikacje zgłoszeń, co może prowadzić do naruszenia poufności i integralności danych, a także do eskalacji uprawnień przez zwykłych użytkowników.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę FairSketch Rise Ultimate Project Manager & CRM do najnowszej dostępnej wersji, która zawiera poprawki zabezpieczeń. Jeśli aktualizacja nie jest możliwa, należy tymczasowo ograniczyć dostęp do API zgłoszeń dla nieuprawnionych użytkowników.

Oryginalny opis (angielski, źródło NVD)

FairSketch Rise Ultimate Project Manager & CRM 3.9.4 is vulnerable to Insecure Permissions. A remote authenticated user can append comments or upload attachments to tickets for which they lack view or edit authorization, due to missing authorization checks in the ticketing/commenting API.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS