IDOR vulnerability has been found in Viafirma Inbox v4.5.13 that allows any authenticated user without privileges in the application to list all users, access and modify their data. This allows the user's email addresses to be modified and, subsequently, using the password recovery functionality to access the application by impersonating any user, including those with administrative permissions.
Viafirma Inbox v4.5.13 contains an Insecure Direct Object Reference (IDOR) vulnerability allowing authenticated users to enumerate all users and modify their data without proper authorization. Attackers can exploit this to change email addresses and hijack accounts including administrative ones via password recovery.
تحتوي نسخة Viafirma Inbox 4.5.13 على ثغرة IDOR حرجة تسمح لأي مستخدم مصرح بالوصول إلى النظام بدون صلاحيات بتعداد وتعديل بيانات جميع المستخدمين الآخرين. يمكن للمهاجم تغيير عناوين البريد الإلكتروني واستخدام وظيفة استرجاع كلمة المرور لاختراق حسابات المستخدمين بما فيها حسابات المسؤولين.
Viafirma Inbox v4.5.13 يحتوي على ثغرة IDOR تسمح للمستخدمين المصرح لهم بتعداد جميع المستخدمين وتعديل بياناتهم دون تفويض مناسب. يمكن للمهاجمين استغلال هذا لتغيير عناوين البريد الإلكتروني واختراق الحسابات بما فيها الإدارية عبر استرجاع كلمة المرور.
Upgrade Viafirma Inbox to version 4.5.14 or later immediately. Implement proper access controls and authorization checks for all user data endpoints. Enforce role-based access control (RBAC) to restrict data access based on user privileges. Monitor and audit all user data modification activities. Implement rate limiting on password recovery endpoints.
قم بترقية Viafirma Inbox إلى الإصدار 4.5.14 أو أحدث فوراً. طبق عناصر تحكم وصول مناسبة وفحوصات تفويض لجميع نقاط نهاية بيانات المستخدمين. فرض التحكم في الوصول القائم على الأدوار (RBAC) لتقييد الوصول إلى البيانات بناءً على امتيازات المستخدم. راقب وتدقيق جميع أنشطة تعديل بيانات المستخدمين. طبق تحديد معدل على نقاط نهاية استرجاع كلمة المرور.