ProjeQtor versions 7.0 through 12.4.3 contain a missing authorization vulnerability in the objectDetail.php endpoint that allows authenticated users with guest-level privileges to retrieve sensitive data belonging to other users including password hashes and API keys. Attackers can bypass access controls by directly accessing the endpoint without ownership or role-based validation to extract administrator credentials and perform privilege escalation.
ProjeQtor versions 7.0-12.4.3 suffer from missing authorization in objectDetail.php allowing authenticated guest users to access sensitive data including password hashes and API keys of other users. This vulnerability enables privilege escalation through direct endpoint access without proper ownership or role validation.
تحتوي ثغرة CVE-2026-41464 على نقص في التحقق من التفويض في نقطة نهاية objectDetail.php بـ ProjeQtor. يمكن للمستخدمين المصرح لهم برؤية البيانات الحساسة لمستخدمين آخرين بما فيها بيانات اعتماد المسؤولين وفتاتيح API. هذا يسمح بتصعيد الامتيازات والوصول غير المصرح به إلى المعلومات الحساسة.
إصدارات ProjeQtor من 7.0 إلى 12.4.3 تحتوي على ثغرة تفويض مفقودة في نقطة نهاية objectDetail.php تسمح للمستخدمين المصرح لهم برؤية البيانات الحساسة لمستخدمين آخرين. يمكن للمهاجمين الوصول المباشر إلى بيانات كلمات المرور وفتاتيح API دون التحقق من الملكية أو الأدوار.
Upgrade ProjeQtor to version 12.4.4 or later immediately. Implement strict role-based access control (RBAC) validation on all endpoints. Conduct security audit of objectDetail.php and similar endpoints. Monitor access logs for unauthorized data retrieval attempts. Restrict guest-level user permissions and enforce principle of least privilege.
قم بترقية ProjeQtor إلى الإصدار 12.4.4 أو أحدث فوراً. طبق التحقق الصارم من التحكم في الوصول القائم على الأدوار على جميع نقاط النهاية. أجرِ تدقيق أمني شامل لـ objectDetail.php. راقب سجلات الوصول للكشف عن محاولات استخراج البيانات غير المصرح بها. قيد صلاحيات المستخدمين على مستوى الضيف.