一、 漏洞 CVE-2025-1270 基础信息
漏洞标题
H6Web中存在的不安全直接对象引用(IDOR)漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在Anapi Group的h6web中存在不安全直接对象引用(IDOR)漏洞,允许经过身份验证的攻击者通过发送POST请求并修改“/h6web/ha_datos_hermano.php”端点中的“pkrelated”参数来访问其他用户的信息。此外,首次请求还可能使攻击者冒充其他用户。因此,利用IDOR漏洞后发出的所有请求都将使用被冒充用户的权限执行。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
通过用户控制密钥绕过授权机制
来源:AIGC 神龙大模型
漏洞标题
Insecure direct object reference (IDOR) vulnerability in H6Web
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Insecure direct object reference (IDOR) vulnerability in Anapi Group's h6web, allows an authenticated attacker to access other users' information by making a POST request and modifying the “pkrelated” parameter in the “/h6web/ha_datos_hermano.php” endpoint to refer to another user. In addition, the first request could also allow the attacker to impersonate other users. As a result, all requests made after exploitation of the IDOR vulnerability will be executed with the privileges of the impersonated user.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
通过用户控制密钥绕过授权机制
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-1270 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-1270 的情报信息
-
标题: Multiple vulnerabilities in Anapi Group h6web | INCIBE-CERT | INCIBE -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-1270