Incorrect Authorization

Cuando se realiza una verificación de autorización intenta acceder a un recurso o realizar una acción, pero no realiza la verificación correctamente. Esto permite a los atacantes eludir las restricciones de acceso previstas.

Suponiendo que un usuario tiene una identidad determinada, la autorización es el proceso de determinar si ese usuario puede acceder a un recurso determinado, en función de los privilegios del usuario y cualquier permiso u otras especificaciones de control de acceso que se apliquen al recurso.

Cuando las comprobaciones de control de acceso se aplican incorrectamente, los usuarios pueden acceder a datos o realizar acciones que no se les debería permitir realizar.

Recursos

CWE - CWE-863: Incorrect Authorization (4.13)

Incorrect Authorization | Martello Security