CVE-2025-66385

EPSS 0.06%
Veröffentlicht 28.11.2025 00:00:00
Zuletzt bearbeitet 01.12.2025 15:39:33
Quelle cve@mitre.org
CVE-Watchlists
Login
Unerledigt
Login

UsersController::edit in Cerebrate before 1.30 allows an authenticated non-privileged user to escalate their privileges (e.g., obtain a higher role such as admin) via the user-edit endpoint by supplying or modifying role_id or organisation_id fields in the edit request.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 6

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

Herstellercerebrate-project

≫

Produkt Cerebrate

Default Statusunaffected

Version < 1.30

Version 0

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.06%	0.171

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
cve@mitre.org	9.4	0	0	CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-472 External Control of Assumed-Immutable Web Parameter

The web application does not sufficiently verify inputs that are assumed to be immutable but are actually externally controllable, such as hidden form fields.

https://github.com/cerebrate-project/cerebrate/compare/v1.29...v1.30

https://github.com/cerebrate-project/cerebrate/commit/c9bfa90abc85d4a20a9cc2f282959b72bef829bb

https://vulnerability.circl.lu/api/vulnerability/gcve-1-2025-0017

https://nvd.nist.gov/vuln/detail/CVE-2025-66385

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2025-66385

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2025-66385

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2025-66385