La nuova immagine di TIM
Una nuova immagine con uno stile dinamico, colori moderni e persone che occupano quasi interamente la scena. Scopri di più
Presentazione dei Risultati H1 2025
Vai alla pagina
La Sostenibilità per TIM
Il Report 2024 accoglie i principi della Corporate Sustainability Reporting Directive (CSRD) ed è incluso nella Relazione Finanziaria e di Sostenibilità. Approfondisci
Ultimi Comunicati Stampa
Leggi gli ultimi comunicati stampa e naviga nell'archivio dell'Ufficio Stampa del Gruppo TIM. Leggi i comunicati
Vulnerability Description: Improper Output Neutralization for Logs - CWE-117
Software Version: 1.6.4
NIST: https://nvd.nist.gov/vuln/detail/CVE-2024-31845
CVSSv3:
Severity:
Credits: Luca Carbone, Fabio Romano, Federico Draghelli, Massimiliano Brolli
The product does not neutralize or incorrectly neutralizes output that is written to logs.
Step-by-step instructions and PoC
The web application writes logs using a GET query string parameter. This parameter can be modified by an attacker, so that every action he performs is attributed to a different user. This vulnerability can be exploited without authentication.
Below are the evidences with the vulnerability details and the payloads used.
The below payload is an example. The vulnerability can be exploited using every functionality which generates a log entry in the ActivityLog page of the web application.
Figure 1 - Payload
Click To Enlarge
Figure 2 - Log Forging
Figure 3 - Log Forging
Security Impact
An attacker can insert fake log entries and execute malicious actions that will be attributed to other users.