CVE-2026-31070
KrytyczneStreszczenie
System zarządzania apteką LalanaChami (commit 5c3d028) umożliwia nieautoryzowanym atakującym zdalne podniesienie uprawnień poprzez samodzielne przypisanie roli administratora podczas rejestracji. Punkt końcowy /api/user/signup nie weryfikuje parametru roli w ciele żądania.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do funkcji administracyjnych systemu, co może prowadzić do poważnych naruszeń bezpieczeństwa danych i operacji apteki.
Rekomendacja
Zaleca się wprowadzenie walidacji parametru roli w punkcie końcowym rejestracji, aby zapobiec nieautoryzowanemu przypisywaniu ról.
Oryginalny opis (angielski, źródło NVD)
The LalanaChami Pharmacy Management System (commit 5c3d028) allows unauthenticated remote attackers to escalate privileges by self-assigning an administrative role during registration. The /api/user/signup endpoint fails to validate the role parameter in the request body

