В эндпоинте `/api/invite/:code` репозитория mintplex-labs/anything-llm существует уязвимость массового присвоения, позволяющая несанкционир…
В эндпоинте `/api/invite/:code` репозитория mintplex-labs/anything-llm существует уязвимость массового присвоения, позволяющая несанкционированно создавать учетные записи с высокими привилегиями. Перехватывая и изменяя HTTP-запрос во время процесса создания учетной записи через ссылку-приглашение, злоумышленник может добавить свойство `role` со значением `admin`, тем самым получая административный доступ. Эта проблема возникает из-за отсутствия allowlisting и blocklisting свойств, что позволяет злоумышленнику эксплуатировать систему и выполнять действия в качестве администратора.
Продукт получает от вышестоящего компонента входные данные, задающие несколько атрибутов, свойств или полей, которые должны быть инициализированы или обновлены в объекте, однако не обеспечивает надлежащего контроля над тем, какие атрибуты могут быть изменены.
https://cwe.mitre.org/data/definitions/915.html →Открыть в коллекции CWE →