CVE-2026-33730 in Open Source Point of Salethông tin

Tóm tắt

Bởi VulDB • 25/06/2026

Open Source Point of Sale (opensourcepos) là một ứng dụng điểm bán hàng dựa trên web, được viết bằng PHP sử dụng framework CodeIgniter. Trước phiên bản 3.4.2, lỗ hổng Insecure Direct Object Reference (IDOR) cho phép người dùng đã xác thực với đặc quyền thấp truy cập vào chức năng thay đổi mật khẩu của các người dùng khác, bao gồm cả quản trị viên, bằng cách thao túng tham số `employee_id`. Ứng dụng không kiểm tra chủ sở hữu đối tượng hoặc áp đặt các biện pháp kiểm soát ủy quyền. Phiên bản 3.4.2 đã thêm các phép kiểm tra ủy quyền ở mức độ đối tượng để xác thực rằng người dùng hiện tại là chủ sở hữu của employee_id đang được truy cập.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00277

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!