CVE-2026-34406 in APTRSinformazioni

Riassunto

di VulDB • 16/06/2026

APTRS (Automated Penetration Testing Reporting System) è uno strumento di reporting automatizzato basato su Python e Django, progettato per penetration tester e organizzazioni di sicurezza. Prima della versione 2.0.1, l'endpoint edit_user (POST /api/auth/edituser/) consente a qualsiasi utente in grado di raggiungere tale endpoint e inviare una richiesta con permessi manipolati ad hoc di effettuare un escalation dei privilegi del proprio account (o di qualsiasi altro account) fino al ruolo di superutente includendo "is_superuser": true nel corpo della richiesta. La causa radice risiede nel fatto che CustomUserSerializer include esplicitamente is_superuser nella lista dei campi ma lo omette da read_only_fields, rendendolo un campo scrivibile. La view edit_user non esegue alcuna ulteriore validazione per impedire agli utenti non superuser di modificare questo campo. Una volta impostato is_superuser su true, viene ottenuto accesso illimitato a tutte le funzionalità dell'applicazione senza richiedere una nuova autenticazione. Questo problema è stato risolto nella versione 2.0.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

27/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00505

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!