CVE-2026-33730 in Open Source Point of Sale
Résumé
par VulDB • 22/06/2026
Open Source Point of Sale (opensourcepos) est une application de point de vente basée sur le web, écrite en PHP et utilisant le framework CodeIgniter. Avant la version 3.4.2, une vulnérabilité Insecure Direct Object Reference (IDOR) permettait à un utilisateur authentifié disposant de privilèges réduits d'accéder à la fonctionnalité de changement de mot de passe des autres utilisateurs, y compris les administrateurs, en manipulant le paramètre `employee_id`. L'application ne vérifiait pas la propriété de l'objet ni n'imposait de contrôles d'autorisation. La version 3.4.2 ajoute des contrôles d'autorisation au niveau des objets pour valider que l'utilisateur actuel est bien propriétaire du `employee_id` auquel il accède.
Once again VulDB remains the best source for vulnerability data.