Catchet
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.29172
Распределение по критичности
Критический
0
Высокий
3
Средний
0
Низкий
0
Затронутые диапазоны версий
< 2.5.1
Также сопоставлено как (исходные строки): catchet
Топ уязвимостей
CVE-2021-39174Cachet — это система страниц статуса с открытым исходным кодом. До версии 2.5.1 аутентифицированные пользователи, независимо от их привилегий (Пользователь или Администратор), могут раскрыть значение любой записи конфигурации файла dotenv, например, секрет приложения (`APP_KEY`) и различные пароли (электронная почта, база данных и т. д.). Эта проблема была решена в версии 2.5.1 путем улучшения `UpdateConfigCommandHandler` и предотвращения использования вложенных переменных в результирующем файле конфигурации dotenv. В качестве обходного пути разрешите доступ к панели управления администрированием только доверенным IP-адресам источника.
CVE-2021-39173Cachet — это система страниц статуса с открытым исходным кодом. До версии 2.5.1 аутентифицированные пользователи, независимо от их привилегий (Пользователь или Администратор), могут обмануть Cachet и установить экземпляр снова, что приведет к произвольному выполнению кода на сервере. Эта проблема была решена в версии 2.5.1 путем улучшения промежуточного программного обеспечения `ReadyForUse`, которое теперь выполняет более строгую проверку имени экземпляра. В качестве обходного пути разрешите доступ к панели управления администрированием только доверенным IP-адресам источника.
CVE-2021-39172Cachet — это система страниц статуса с открытым исходным кодом. До версии 2.5.1 аутентифицированные пользователи, независимо от их привилегий (Пользователь или Администратор), могут использовать внедрение новой строки в функции редактирования конфигурации (например, настройки почты) и получить произвольное выполнение кода на сервере. Эта проблема была решена в версии 2.5.1 путем улучшения `UpdateConfigCommandHandler` и предотвращения использования символов новой строки в новых значениях конфигурации. В качестве обходного пути разрешите доступ к панели управления администрированием только доверенным IP-адресам источника.