Katalog CVE

CVE-2026-31070

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

System zarządzania apteką LalanaChami (commit 5c3d028) umożliwia nieautoryzowanym atakującym zdalne podniesienie uprawnień poprzez samodzielne przypisanie roli administratora podczas rejestracji. Punkt końcowy /api/user/signup nie weryfikuje parametru roli w ciele żądania.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do funkcji administracyjnych systemu, co może prowadzić do poważnych naruszeń bezpieczeństwa danych i operacji apteki.

Rekomendacja

Zaleca się wprowadzenie walidacji parametru roli w punkcie końcowym rejestracji, aby zapobiec nieautoryzowanemu przypisywaniu ról.

Oryginalny opis (angielski, źródło NVD)

The LalanaChami Pharmacy Management System (commit 5c3d028) allows unauthenticated remote attackers to escalate privileges by self-assigning an administrative role during registration. The /api/user/signup endpoint fails to validate the role parameter in the request body

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS