Hallo zusammen,
mir ist auf unserer Seite ein schwerwiegender Sicherheitsfehler im Adminbereich aufgefallen, den ich gerne zur Prüfung weitergeben möchte.
Wir haben verschiedene Benutzergruppen mit jeweils eingeschränkten Rechten, sodass bestimmte Gruppen z. B. nur Zugriff auf ein bestimmtes Modul im Adminmenü haben. Soweit, so gut.
Nun hatten wir jedoch den Fall, dass ein Nutzer, der definitiv keine Rechte im Bereich „Teams“ besitzt, über die Startseite des ACP durch eine Benachrichtigung gesehen hat, dass dort eine neue Bewerbung eingegangen ist. Über den Link konnte er direkt auf das Modul /index.php/admin/teams/applications/index zugreifen – und die Bewerbung sogar annehmen, obwohl ihm die entsprechenden Berechtigungen fehlen.
Meine Frage: Sollte es nicht eigentlich so sein, dass beim direkten Aufruf eines Moduls ohne die nötigen Rechte eine „Kein Zugriff“-Fehlermeldung erscheint, anstatt dass man das Modul vollständig nutzen kann?
Für mich sieht das ganz klar nach einem Fehler in der Rechteprüfung aus, möglicherweise ein Problem in der Konfiguration oder gar im System selbst. Ich würde mich freuen, wenn diese potenzielle Sicherheitslücke zeitnah überprüft und ggf. behoben wird.
Viele Grüße
Merc
Version 2.2.12
betroffene Homepage: eternity-sounds.de
Zuletzt modifiziert von Merc am 28.06.2025 - 15:52:42
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch CMS 2.X » Kritik und Verbesserungen » Gravierende Sicherheitslücke im ACP
| Geschlossen | ||
-
-
Hierbei ist zu beachten, welcher Gruppe der Nutzer zugewiesen ist.
Um die Rechte definitiv erfolgreich zu setzen, klicke im Adminbereich auf Module und dann auf Benutzer.
Dann links auf Verwalten. Nun siehst Du rechts bei Benutzergruppen, welcher Gruppe der Nutzer zugewiesen ist.
Nun klicke links auf Gruppen und dann auf Gruppenrechte. Dann klickst Du rechts bei Gruppe in das Auswahlfeld
und wählst die Gruppe aus, die dem Nutzer zugewiesen ist. Standardgemäß sollte das User sein. Nun öffnen sich
unterhalb die zugewiesenen Rechte für nicht sichtbar, sichtbar, bearbeitbar. Nun setzt Du überall den Radiobutton
auf nicht sichtbar, was dieser Nutzer nicht einsehen darf. Auf Speichern klicken, fertig. Von nun an kann dieser
Nutzer nicht mehr einsehen, was er nicht darf.
-
Hallo und danke für deine Antwort.
Die Rechtevergabe über Gruppen und die Konfiguration unter Module > Benutzer > Gruppenrechte ist mir bekannt und wurde korrekt umgesetzt. Der betroffene Nutzer ist eindeutig einer Gruppe zugeordnet, der explizit keine Rechte im Modul „Teams“ zugewiesen wurden – weder sichtbar noch bearbeitbar.
Das eigentliche Problem liegt jedoch nicht in der Konfiguration, sondern in der fehlenden oder unvollständigen serverseitigen Rechteprüfung:
Trotz korrekter Rechtevergabe konnte der Nutzer über einen Direktlink aus einer Systembenachrichtigung das Modul
/index.php/admin/teams/applications/index
aufrufen und darin Bewerbungen bearbeiten.
Ein Rechtekonzept, das ausschließlich über die UI greift, aber serverseitig keine Zugriffsprüfung erzwingt, stellt ein erhebliches Sicherheitsrisiko dar – besonders bei direktem Aufruf von Routen außerhalb der Navigation.
Viele Grüße
Merc -
Mi. 02.07.2025
15:43 Uhr
#4
- Registriert seit
- 12.08.2018
- Beiträge
- 521
- Beitragswertungen
Ist der betreffende User vlt in eine andere Gruppe drin die das bearbeiten im Modul erlaubt?
Edit: ich habe den Fehler nachstellen können.
Könntest du folgendes ausprobieren, ob der Fehler weg ist und ob noch alles wie gewohnt Funktioniert?
github.com/IlchCMS/Ilch-2.0/pull/1265
Zuletzt modifiziert von hhunderter am 04.07.2025 - 09:28:08 -
Vielen dank für deine Antwort
kam noch nicht dazu werde mir es aber nun anschauen und ausprobieren
Viele Grüße Merc
| Geschlossen | ||
 |
Zurück zu Kritik und Verbesserungen | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten