Brocade Webtools в Brocade Fabric OS версий до Brocade Fabric OS версий v9.1.1, v9.0.1e и v8.2.3c может позволить веб-пользователю с низким…
Brocade Webtools в Brocade Fabric OS версий до Brocade Fabric OS версий v9.1.1, v9.0.1e и v8.2.3c может позволить веб-пользователю с низкими привилегиями получить повышенные права администратора или привилегии, выходящие за рамки того, что предназначено или разрешено для этого пользователя. Используя эту уязвимость, пользователь, роль которого не является администратором, может создать нового пользователя с ролью администратора, используя идентификатор сеанса оператора. Проблема была воспроизведена после перехвата заголовков авторизации администратора и оператора, отправленных в незашифрованном виде, и редактирования запроса на добавление пользователя для использования заголовка авторизации оператора.
Продукт не назначает, не изменяет, не отслеживает или не проверяет должным образом привилегии субъекта, формируя для него непредусмотренную сферу управления.
https://cwe.mitre.org/data/definitions/269.html →Открыть в коллекции CWE →Злоумышленник обнаруживает метод управления правами в стиле REST HTTP (Get, Put, Delete), позволяющий ему выполнять различные вредоносные действия с данными на сервере вследствие отсутствия механизмов контроля доступа в сервисе приложения, принимающем HTTP-сообщения.
https://capec.mitre.org/data/definitions/58.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует возможности цели, которые должны быть зарезервированы для привилегированных пользователей или администраторов, но доступны непривилегированным или менее привилегированным учётным записям. Доступ к конфиденциальным данным и функциональности должен быть разграничен таким образом, чтобы только авторизованные пользователи могли обращаться к этим ресурсам.
https://capec.mitre.org/data/definitions/122.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует слабость, позволяющую ему повышать свои привилегии и выполнять действия, к которым он не должен иметь авторизации.
https://capec.mitre.org/data/definitions/233.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| fabric_operating_system | * | Отслеживается |