CVE-2019-13337

In WESEEK GROWI before 3.5.0, the site-wide basic authentication can be bypassed by adding a URL parameter access_token (this is the…

mitre·CWE-639·Published 2019-07-09

CVSS

—

EPSS

0.01

KEV

Exploits

cve.orgen

304 chars

In WESEEK GROWI before 3.5.0, the site-wide basic authentication can be bypassed by adding a URL parameter access_token (this is the parameter used by the API). No valid token is required since it is not validated by the backend. The website can then be browsed as if no basic authentication is required.

NVDen

304 chars

NVDes

346 chars

En WESEEK GROWI versiones anteriores a 3.5.0, la identificación básica de todo el sitio se puede omitir agregando un token de acceso del parámetro URL (este es el parámetro usado por la API). No se requiere un token válido ya que no está validado por el backend. El sitio web puede ser navegado como si no se requiere de una autenticación básica.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	5.0	10.0	2.9	AV:N/AC:L/Au:N/C:N/I:P/A:N
3.0	Primary	NVD	7.5	3.9	3.6	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N