CVE-2026-33730 in Open Source Point of Sale
Tóm tắt
Bởi VulDB • 25/06/2026
Open Source Point of Sale (opensourcepos) là một ứng dụng điểm bán hàng dựa trên web, được viết bằng PHP sử dụng framework CodeIgniter. Trước phiên bản 3.4.2, lỗ hổng Insecure Direct Object Reference (IDOR) cho phép người dùng đã xác thực với đặc quyền thấp truy cập vào chức năng thay đổi mật khẩu của các người dùng khác, bao gồm cả quản trị viên, bằng cách thao túng tham số `employee_id`. Ứng dụng không kiểm tra chủ sở hữu đối tượng hoặc áp đặt các biện pháp kiểm soát ủy quyền. Phiên bản 3.4.2 đã thêm các phép kiểm tra ủy quyền ở mức độ đối tượng để xác thực rằng người dùng hiện tại là chủ sở hữu của employee_id đang được truy cập.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.