Strapi до версии 4.5.5 позволяет злоумышленникам (имеющим доступ к панели администратора) обнаруживать конфиденциальные сведения о пользова…
Strapi до версии 4.5.5 позволяет злоумышленникам (имеющим доступ к панели администратора) обнаруживать конфиденциальные сведения о пользователях, используя фильтр запросов. Злоумышленник может фильтровать пользователей по столбцам, содержащим конфиденциальную информацию, и получать значение из ответов API. Если злоумышленник имеет доступ к супер-администратору, это можно использовать для обнаружения хеша пароля и токена сброса пароля всех пользователей. Если злоумышленник имеет доступ к панели администратора учетной записи с разрешением на доступ к имени пользователя и электронной почте пользователей API с ролью с более низкими привилегиями (например, редактор или автор), это можно использовать для обнаружения конфиденциальной информации для всех пользователей API, но не для других учетных записей администратора.
Продукт хранит конфиденциальную информацию в открытом виде в ресурсе, который может быть доступен другой сфере управления.
https://cwe.mitre.org/data/definitions/312.html →Открыть в коллекции CWE →Злоумышленник исследует целевую систему для поиска конфиденциальных данных, встроенных в неё. Эта информация может раскрывать конфиденциальные сведения, такие как номера счетов или отдельные ключи/учётные данные, которые могут использоваться в качестве промежуточного шага в более масштабной атаке.
https://capec.mitre.org/data/definitions/37.html →Открыть в коллекции CAPEC →