CVE-2026-34406 in APTRSالمعلومات

الملخص

بحسب VulDB • 09/06/2026

APTRS (Automated Penetration Testing Reporting System) هو أداة تقارير آلية مبنية على Python و Django، مصممة خصيصاً لمختبري الاختراق ومنظمات الأمن السيبراني. قبل الإصدار 2.0.1، يسمح نقطة النهاية edit_user (POST /api/auth/edituser/) لأي مستخدم قادر على الوصول إلى تلك النقطة وتقديم إذن مُعدّ بعناية (crafted permission) بتعزيز صلاحيات حسابه الخاص (أو أي حساب آخر) إلى مستوى superuser عن طريق تضمين "is_superuser": true في جسم الطلب (request body). السبب الجذري للمشكلة هو أن CustomUserSerializer يتضمن صراحةً is_superuser في قائمة الحقول الخاصة به، لكنه يستبعده من read_only_fields، مما يجعله حقلاً قابلاً للكتابة. لا تقوم طريقة edit_user view بإجراء أي تحقق إضافي لمنع المستخدمين غير superusers من تعديل هذا الحقل. بمجرد تعيين is_superuser إلى true، يتم الحصول على وصول غير مقيد إلى جميع وظائف التطبيق دون الحاجة إلى إعادة المصادقة. تم إصلاح هذه المشكلة في الإصدار 2.0.1.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

27/03/2026

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354546

EPSS

0.00505

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!