Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SAGE DPW (CVE-2024-56883)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
18/02/2025
Última modificación:
19/02/2025

Descripción

SAGE DPW antes de 2024_12_001 es vulnerable al control de acceso incorrecto. Los controles de acceso basados ??en roles implementados no siempre se aplican en el lado del servidor. Los usuarios de SAGE de bajo privilegio con permisos de roles de empleados pueden crear cursos externos para otros empleados, a pesar de que no tienen la opción de hacerlo en la interfaz de usuario. Para hacer esto, una solicitud válida para crear un curso simplemente debe modificarse, de modo que la ID de usuario actual en el parámetro "ID" se reemplace con la ID de otro usuario.

Referencias a soluciones, herramientas e información