Opis podatności
Zespół CERT Polska koordynował proces ujawniania informacji o dwóch podatnościach.
Podatność CVE-2024-6662, która została zgłoszona do zespołu CERT Polska, umożliwia ataki typu Cross-Site Request Forgery (CSRF), ponieważ formularz dostępny pod adresem /edytor/index.php?id=7,7,0 nie posiada odpowiednich mechanizmów ochronnych. Użytkownik może zostać nakłoniony do odwiedzenia szkodliwej strony, która wysłałaby żądanie POST zawierającego wypełnione dane formularza do tego endpointu. jeżeli ofiara jest zalogowanym administratorem, może to doprowadzić do utworzenia nowych kont i nadania im uprawnień administracyjnych.
Zespół CERT Polska podczas własnych badań odkrył podatność CVE-2024-6880. Podczas procesu instalacji MegaBIP użytkownik jest zachęcany do zmiany domyślnej ścieżki do portalu administracyjnego, ponieważ utrzymanie jej w tajemnicy jest wymienione przez autora jako jeden z mechanizmów ochronnych. Publicznie dostępny kod źródłowy pliku /registered.php ujawnia tę ścieżkę, co umożliwia atakującemu podjęcie dalszych prób ataków.
Według informacji otrzymanych od autora, obie podatności zostały usunięte w wersji 5.15 systemu MegaBIP.