Opis podatności
CERT Polska w ramach badań własnych znalazł podatność typu Cross-Site Request Forgery (CSRF) w oprogramowaniu SmodBIP, której nadano identyfikator CVE-2023-4837. Atakujący może spreparować link, który gdy zostanie kliknięty przez administratora, wykona dowolną operację z jego uprawnieniami. Może to być na przykład dodanie drugiego konta administratora, dzięki czemu atakujący uzyska pełen dostęp administracyjny do serwisu.
SmodBIP nie jest już utrzymywany i nie należy oczekiwać, aby ta luka w zabezpieczeniach została usunięta. Podatne są potencjalnie wszystkie wersje systemu – testy przeprowadzone zostały na najnowszej, tj. 2.21.