Vulnerabilidad en SourceCodester (CVE-2025-63711)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

10/11/2025

Última modificación:

17/11/2025

Descripción

Una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en el Sistema de Gestión de Base de Datos de Cliente SourceCodester 1.0 permite a un atacante hacer que un usuario administrativo autenticado realice acciones de eliminación de usuarios sin su consentimiento. El endpoint de eliminación de usuarios de la aplicación (por ejemplo, superadmin_user_delete.php) acepta peticiones POST que contienen un parámetro user_id y no aplica el origen de la petición ni tokens anti-CSRF. Debido a que el endpoint carece de comprobaciones adecuadas de autenticación/autorización y protecciones CSRF, un atacante remoto puede crear una página maliciosa que activa la eliminación cuando es visitada por un administrador autenticado, lo que resulta en la eliminación arbitraria de cuentas de usuario.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo