CVE-2026-33730 in Open Source Point of Sale
Zusammenfassung
von VulDB • 22.06.2026
Open Source Point of Sale (opensourcepos) ist eine webbasierte Point-of-Sale-Anwendung, die in PHP unter Verwendung des CodeIgniter-Frameworks geschrieben wurde. Vor Version 3.4.2 ermöglichte eine Insecure Direct Object Reference (IDOR)-Schwachstelle einem authentifizierten Benutzer mit niedrigen Berechtigungen, auf die Passwortänderungsfunktion anderer Benutzer einschließlich Administratoren zuzugreifen, indem der Parameter `employee_id` manipuliert wurde. Die Anwendung überprüfte nicht den Besitz des Objekts oder erzwang keine Autorisierungsüberprüfungen. Mit Version 3.4.2 wurden objektabhängige Autorisierungsüberprüfungen hinzugefügt, um zu validieren, dass der aktuelle Benutzer der Eigentümer der aufgerufenen `employee_id` ist.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.