... me suena como Control de acceso inadecuado .
De CWE-284 :
Resumen de descripción El software no restringe o restringe incorrectamente el acceso a un recurso de un actor no autorizado.
Descripción ampliada El control de acceso implica el uso de varios mecanismos de protección, como la autenticación (que demuestra la identidad de
autorización de un actor (que garantiza que un actor determinado pueda acceder a un
recurso), y la responsabilidad (seguimiento de las actividades que fueron
realizado). Cuando algún mecanismo no se aplica o falla de otra manera,
los atacantes pueden comprometer la seguridad del software obteniendo
privilegios, leer información sensible, ejecutar comandos, evadir
detección, etc. Hay dos comportamientos distintos que pueden introducir
debilidades de control de acceso:
-
Especificación: los privilegios, permisos, propiedad, etc. incorrectos se especifican explícitamente para el usuario o el recurso (para
Por ejemplo, configurar un archivo de contraseña para que se pueda escribir en todo el mundo, o dar
capacidades de administrador a un usuario invitado). Esta acción podría ser
realizado por el programa o el administrador.
-
Cumplimiento: el mecanismo contiene errores que le impiden aplicar adecuadamente los requisitos de control de acceso especificados (por ejemplo,
permitiendo al usuario especificar sus propios privilegios, o permitiendo un
ACL sintácticamente incorrecta para producir ajustes inseguros). Esta
problema se produce dentro del propio programa, en el sentido de que en realidad no
hacer cumplir la política de seguridad prevista que especifica el administrador.
Sin embargo, no mencionas cómo el actor está llevando a cabo su ataque, por lo que solo puedo suponer que están utilizando la manipulación de parámetros GET para hacerse pasar por otro usuario.
En este caso, el ataque real sería "Manipulación de parámetros" o "Manipulación de parámetros".