Apollos Apps - это платформа с открытым исходным кодом для запуска приложений, связанных с церковью. В версиях Apollos Apps до 2.20.0 новые…
Apollos Apps - это платформа с открытым исходным кодом для запуска приложений, связанных с церковью. В версиях Apollos Apps до 2.20.0 новые регистрации пользователей могут получить доступ к учетной записи любого пользователя, зная только его основную информацию профиля (имя, день рождения, пол и т. д.). Это включает в себя все функции приложения, а также любые аутентифицированные ссылки на веб-страницы на основе Rock (такие как пожертвования и мероприятия). Исправление есть в версии 2.20.0. В качестве обходного пути можно исправить свой сервер, переопределив метод источника данных `create` в классе `People`.
Требования к продукту предписывают использование установленного алгоритма аутентификации, однако его реализация выполнена некорректно.
https://cwe.mitre.org/data/definitions/303.html →Открыть в коллекции CWE →Злоумышленник может злоупотребить протоколом аутентификации, уязвимым к атаке-отражению, для его обхода. Это позволяет злоумышленнику получить нелегитимный доступ к целевой системе без наличия требуемых учётных данных. Атаки-отражения представляют серьёзную угрозу для протоколов аутентификации, основанных на механизме запрос-ответ или аналогичном. Злоумышленник может выдавать себя за легитимного пользователя и, успешно проведя атаку-отражение в ходе аутентификации, получить нелегитимный доступ к системе.
https://capec.mitre.org/data/definitions/90.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| data-connector-rock | * | Отслеживается |