Предоставление частной личной информации неавторизованному субъекту в репозитории GitHub notrinos/notrinoserp до v0.7. Это приводит к повыш…
Предоставление частной личной информации неавторизованному субъекту в репозитории GitHub notrinos/notrinoserp до v0.7. Это приводит к повышению привилегий до учетной записи системного администратора. Злоумышленник может получить доступ к защищенным функциям, таким как создание/обновление компаний, установка/обновление языков, установка/активация расширений, установка/активация тем и другие разрешительные действия.
Продукт не предотвращает должным образом доступ к персональным данным лица со стороны субъектов, которые (1) не имеют явного разрешения на доступ к этой информации или (2) не имеют неявного согласия лица, о котором эти данные собраны.
https://cwe.mitre.org/data/definitions/359.html →Открыть в коллекции CWE →Злоумышленник создаёт чрезвычайно устойчивый cookie-файл, который сохраняется даже после того, как пользователь считает его удалённым. Cookie-файл хранится на машине жертвы более чем в десяти местах. Когда жертва очищает кэш cookie-файлов стандартными средствами браузера, эта операция удаляет cookie-файл из ряда мест, но не из всех. Вредоносный код затем воспроизводит cookie-файл из всех мест, где он не был удалён, во все возможные хранилища. В итоге у жертвы снова оказывается cookie-файл во всех исходных хранилищах. Иными словами, неудаление cookie-файла даже из одного места приводит к его восстановлению повсюду. Evercookie также сохраняется при смене браузера, поскольку некоторые хранилища (например, Local Shared Objects) являются общими для разных браузеров.
https://capec.mitre.org/data/definitions/464.html →Открыть в коллекции CAPEC →Злоумышленник собирает идентификационные данные о жертве через активную сессию, которую браузер жертвы поддерживает с социальной сетью. Жертва может держать социальную сеть открытой в одной из вкладок или использовать функцию «запомнить меня» для поддержания активной сессии. Злоумышленник внедряет полезную нагрузку, выполняющуюся в браузере жертвы и незаметно для неё инициирующую запрос к социальной сети (например, через доступные API социальной сети) с целью получения идентификационных данных жертвы. Хотя часть этих данных может быть публичной, злоумышленник получает её в контексте и может использовать для дальнейших атак на пользователя (например, целевого фишинга).
https://capec.mitre.org/data/definitions/467.html →Открыть в коллекции CAPEC →Злоумышленник анализирует снимки экрана, создаваемые iOS, с целью получения конфиденциальной информации. Данная атака нацелена на временные снимки экрана, создаваемые операционной системой в то время, когда приложение остаётся открытым в фоновом режиме.
https://capec.mitre.org/data/definitions/498.html →Открыть в коллекции CAPEC →При атаке подглядывания через плечо злоумышленник наблюдает за нажатиями клавиш, содержимым экрана или разговорами ничего не подозревающего человека с целью получения конфиденциальной информации. Одним из мотивов данной атаки является получение конфиденциальной информации о цели в финансовых, личных, политических или иных целях. С точки зрения инсайдерской угрозы дополнительным мотивом может быть получение учётных данных для системы/приложения или криптографических ключей. Атаки подглядывания через плечо осуществляются путём наблюдения за содержимым «через плечо жертвы», как следует из названия данной атаки.
https://capec.mitre.org/data/definitions/508.html →Открыть в коллекции CAPEC →