Эта уязвимость существует в Shilpi Client Dashboard из-за неправильной обработки нескольких параметров в конечной точке API. Аутентифициров…
Эта уязвимость существует в Shilpi Client Dashboard из-за неправильной обработки нескольких параметров в конечной точке API. Аутентифицированный удаленный злоумышленник может использовать эту уязвимость, включив несколько параметров «userid» в тело запроса API, что приведет к несанкционированному доступу к конфиденциальной информации, принадлежащей другим пользователям.
Продукт не обрабатывает или некорректно обрабатывает ситуацию, когда количество параметров, полей или аргументов с одинаковым именем превышает ожидаемое.
https://cwe.mitre.org/data/definitions/235.html →Открыть в коллекции CWE →Злоумышленник добавляет дублирующиеся параметры HTTP GET/POST путём внедрения разделителей строки запроса. С помощью HPP можно переопределить существующие жёстко заданные HTTP-параметры, изменить поведение приложения, получить доступ к неконтролируемым переменным и потенциально эксплуатировать их, а также обойти контрольные точки проверки входных данных и правила WAF.
https://capec.mitre.org/data/definitions/460.html →Открыть в коллекции CAPEC →