Vulnerabilidad en SAGE DPW (CVE-2024-56883)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
18/02/2025
Última modificación:
19/02/2025
Descripción
SAGE DPW antes de 2024_12_001 es vulnerable al control de acceso incorrecto. Los controles de acceso basados ??en roles implementados no siempre se aplican en el lado del servidor. Los usuarios de SAGE de bajo privilegio con permisos de roles de empleados pueden crear cursos externos para otros empleados, a pesar de que no tienen la opción de hacerlo en la interfaz de usuario. Para hacer esto, una solicitud válida para crear un curso simplemente debe modificarse, de modo que la ID de usuario actual en el parámetro "ID" se reemplace con la ID de otro usuario.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA