GestSup versions up to and including 3.2.60 contain a cross-site request forgery (CSRF) vulnerability where the application does not verify the authenticity of client requests. An attacker can induce a logged-in user to submit crafted requests that perform actions with the victim's privileges. This can be exploited to create privileged accounts by targeting the administrative user creation endpoint.
GestSup versions up to 3.2.60 contain a CSRF vulnerability allowing attackers to forge requests that execute actions with victim privileges. An attacker can create privileged accounts by exploiting the administrative user creation endpoint without proper request verification.
تفتقر تطبيقات GestSup إلى التحقق من صحة الطلبات عبر الموقع، مما يسمح للمهاجمين بخداع المستخدمين المسجلين دخولهم لتنفيذ إجراءات غير مقصودة. يمكن استغلال هذه الثغرة بشكل خاص لإنشاء حسابات إدارية جديدة بامتيازات كاملة.
إصدارات GestSup حتى 3.2.60 تحتوي على ثغرة CSRF تسمح للمهاجمين بتزوير الطلبات لتنفيذ إجراءات بامتيازات الضحية. يمكن للمهاجم إنشاء حسابات مميزة باستغلال نقطة نهاية إنشاء المستخدم الإداري بدون التحقق من الطلب.
Upgrade GestSup to version 3.2.61 or later immediately. Implement CSRF tokens (synchronizer tokens) on all state-changing endpoints, particularly user creation forms. Enable SameSite cookie attributes set to Strict or Lax. Implement Content Security Policy (CSP) headers. Conduct security awareness training for administrators on CSRF attack vectors.
قم بترقية GestSup إلى الإصدار 3.2.61 أو أحدث فوراً. طبق رموز CSRF على جميع نقاط النهاية التي تغير الحالة، خاصة نماذج إنشاء المستخدمين. فعّل سمات ملفات تعريف الارتباط SameSite. طبق رؤوس سياسة أمان المحتوى. أجرِ تدريباً على الوعي الأمني للمسؤولين حول ناقلات هجمات CSRF.