z-9527 एडमिन यूजर अपडेट एंडपॉइंट user.js गतिशील रूप से निर्धारित ऑब्जेक्ट एट्रिब्यूट

z-9527 एडमिन 1.0/2.0 में एक भेद्यता की पहचान की गई। यह यूजर अपडेट एंडपॉइंट के /server/routes/user.js फाइल के एक अज्ञात फंक्शन को प्रभावित करता है। इनपुट 1 के साथ isAdmin तर्क का ऐसा हेरफेर गतिशील रूप से निर्धारित ऑब्जेक्ट एट्रिब्यूट की ओर ले जाता है। दूर से हमला करना संभव है। शोषण सार्वजनिक रूप से उपलब्ध है और इसका उपयोग किया जा सकता है। विक्रेता से इस खुलासे के बारे में जल्दी संपर्क किया गया था लेकिन उन्होंने किसी भी तरह से जवाब नहीं दिया।