В CMS Umbraco обнаружена критическая уязвимость

Дата: 02.04.2021. Автор: Артем П. Категории: Новости по информационной безопасности
В CMS Umbraco обнаружена критическая уязвимость

Специалисты компании Trustwave объявили об обнаружении критической уязвимости в популярной CMS Umbraco. В сообщении экспертов по кибербезопасности говорится о проблеме повышения привилегий, с помощью которой пользователи с невысокими привилегиями имеют возможность получить администраторские права.

Найденная уязвимость связана с конечной точкой API, которая неправильно осуществляет процесс проверки авторизации пользователя перед возвратом обнаруженных результатов в разделе ведения журнала приложения.

В CMS Umbraco пользователи с высокими привилегиями имеют возможность просмотра данных журнала в администраторском пользовательском интерфейсе, содержащем любую информацию, добавленную в журналы приложений. Для проверки риска утечки этой информации администратор создает пользователя с низкими привилегиями, относящегося к группе Writers.

Пользователь с низкими привилегиями может аутентифицироваться в приложении, получить требуемые файлы cookie и заголовки для доступа к нему. Идентификаторы позволяют пользователю с низкими привилегиями получить доступ к конечной точке API, которая возвращает данные журнала, доступные только для администратора.

Специалисты компании Trustwave установили, что причина уязвимости заключается в том, что Umbraco.Web.dll класс LogViewerController не применяет детализированные атрибуты авторизации в своих открытых конечных точках, поэтому многочисленные конечные точки доступны для пользователей с низкими привилегиями.

CMS Umbraco – система управления контентом с открытым исходным кодом. Она написана на C# и развернута на базе инфраструктуры Microsoft. Umbraco была разработана Нильсом Хартвигом в 2000 году и выпущена в качестве программного обеспечения с открытым исходным кодом в 2004 году. В 2009 году издание Wire охарактеризовало CMS Umbraco как одну из ведущих систем управления контентом с открытым исходным кодом на основе .NET.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *