Platform
codeigniter
Component
opensourcepos
Opgelost in
3.4.3
CVE-2026-33730 beschrijft een Insecure Direct Object Reference (IDOR) kwetsbaarheid in Open Source Point of Sale. Een geauthenticeerde gebruiker met lage privileges kan de wachtwoordwijzigingsfunctionaliteit van andere gebruikers benaderen. De impact is ongeautoriseerde toegang tot wachtwoordwijziging. Open Source Point of Sale versies < 3.4.2 zijn kwetsbaar. De issue is opgelost in versie 3.4.2.
De IDOR (Insecure Direct Object Reference) kwetsbaarheid in openSourcePOS versies vóór 3.4.2 stelt een geauthenticeerde, laag-privilege gebruiker in staat om toegang te krijgen tot en het wachtwoord van andere gebruikers te wijzigen, inclusief beheerders, door de employee_id parameter te manipuleren. De applicatie verifieert geen objecteigendom en dwingt geen autorisatiecontroles af. Dit kan ertoe leiden dat een aanvaller de controle over beheerdersaccounts overneemt, waardoor het gehele point-of-sale systeem en gevoelige gegevens mogelijk worden gecompromitteerd. De impact is aanzienlijk vanwege de potentie voor ongeautoriseerde toegang en datalekken.
Een aanvaller heeft een geauthenticeerde gebruikersaccount nodig binnen het openSourcePOS-systeem, zelfs met beperkte privileges. Ze kunnen vervolgens HTTP-verzoeken onderscheppen of manipuleren die worden verzonden om het wachtwoord van een gebruiker te wijzigen. Door de employee_id parameter in de aanvraag te wijzigen, kan de aanvaller het systeem misleiden om de aanvraag te verwerken alsof deze afkomstig is van de legitieme eigenaar van de gespecificeerde gebruiker. Deze techniek is relatief eenvoudig te implementeren en kan worden uitgebuit door aanvallers met basiskennis van webbeveiliging.
Organizations utilizing Open Source Point of Sale versions 3.4.2 and earlier, particularly those with multiple user accounts and administrator privileges, are at risk. Shared hosting environments where multiple POS systems share the same server infrastructure could also be impacted, as a compromise of one system could potentially lead to the compromise of others.
• codeigniter: Examine application logs for suspicious requests manipulating the employee_id parameter.
grep 'employee_id=' /var/log/apache2/access.log• generic web: Monitor access logs for unusual patterns of requests targeting the password change endpoint with varying employee_id values.
curl -v 'http://your-pos-system/password_reset.php?employee_id=1' # Test with different IDs• generic web: Check response headers for any signs of unauthorized access or privilege escalation.
curl -I 'http://your-pos-system/password_reset.php?employee_id=1' # Check status code and headersdisclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie is om te upgraden naar versie 3.4.2 of hoger van openSourcePOS. Deze versie introduceert object-level autorisatiecontroles, waardoor ongeautoriseerde toegang effectief wordt voorkomen. Het wordt ten zeerste aanbevolen om multi-factor authenticatie (MFA) te implementeren voor beheerdersaccounts en regelmatig de gebruikersrechten te controleren. Regelmatige penetratietests moeten worden uitgevoerd om potentiële beveiligingslekken proactief te identificeren en te verhelpen. Snel patchen is cruciaal om het risico op uitbuiting te minimaliseren.
Update Open Source Point of Sale naar versie 3.4.2 of hoger. Deze versie bevat autorisatiecontroles op objectniveau om te valideren dat de huidige gebruiker de eigenaar is van de employee_id waartoe toegang wordt verkregen, waardoor de IDOR-kwetsbaarheid wordt gecorrigeerd.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
IDOR staat voor Insecure Direct Object Reference (onveilige directe objectreferentie). Het treedt op wanneer een applicatie gebruikers toestaat om interne objecten te benaderen op basis van een voorspelbare identifier zonder de autorisatie te verifiëren.
Als u een versie van openSourcePOS gebruikt die ouder is dan 3.4.2, is de kans groot dat u kwetsbaar bent. Controleer uw huidige versie en upgrade naar de nieuwste beschikbare versie.
Wijzig onmiddellijk alle gebruikerswachtwoorden, vooral die van beheerders. Voer een grondige beveiligingsaudit van het systeem uit om verdachte activiteiten te identificeren.
Verschillende web vulnerability scanners kunnen helpen bij het identificeren van IDOR kwetsbaarheden, zoals OWASP ZAP en Burp Suite.
Implementeer multi-factor authenticatie (MFA), controleer regelmatig de gebruikersrechten en voer periodieke penetratietests uit.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.