JCV

CVC-2504-332 – Joshua

Joshua CybeRisk Vision – Vertical Privilege Escalation

Title Joshua CybeRisk Vision – Vertical Privilege Escalation
Discovery date 18/02/2025
Class Vertical Privilege Escalation

Disclosure timeline

28/02/2025 First report of vulnerability shared with CybeRisk Vision team
28/02/2025 Fix released in production by CybeRisk Vision team
30/04/2025 CVC-2504-332 publicly released

Vulnerability details

Durante i test è stato possibile eliminare un report creato da un’utenza con privilegi di scrittura utilizzando un utente con privilegi di sola lettura:

Figura 1 – Report generato dall’utente con privilegi di scrittura

Una volta generato il report è stato effettuato l’accesso con l’utente che possiede privilegi di sola lettura e il pulsante di eliminazione mostra l’errore “Non hai i permessi necessari per eseguire questa azione”:

Figura 2 – Utente senza permessi di eliminazione

Tuttavia, intercettando la richiesta è stato possibile utilizzare il token dell’utente con privilegi di sola lettura per eliminare con successo il report:

Figura 3 – Report cancellato utilizzando l’utente che ha privilegi di sola lettura
Questo elemento è stato inserito in JCV. Aggiungilo ai segnalibri.