Pixelfed - это платформа для обмена фотографиями с открытым исходным кодом. При обработке запросов авторизация проверялась неправильно и не…
Pixelfed - это платформа для обмена фотографиями с открытым исходным кодом. При обработке запросов авторизация проверялась неправильно и недостаточно, что позволяло злоумышленникам получать доступ к гораздо большему функционалу, чем предполагалось пользователям, включая административный и модераторский функционал сервера Pixelfed. Эта уязвимость затрагивает каждую версию Pixelfed между v0.10.4 и v0.11.9 включительно. Существует доказательство концепции этой уязвимости. Эта уязвимость затрагивает каждого локального пользователя сервера Pixelfed и потенциально может повлиять на способность серверов к федерации. Для настройки условий, позволяющих использовать уязвимость, требуется некоторое взаимодействие с пользователем, но злоумышленник может проводить эту атаку с задержкой во времени, когда активное взаимодействие с пользователем не требуется. Эта уязвимость была устранена в версии 0.11.11. Пользователям рекомендуется обновиться. В настоящее время обходные пути для этой уязвимости отсутствуют.
Продукт не обрабатывает или некорректно обрабатывает ситуацию, когда привилегий недостаточно для доступа к ресурсам или функциям в соответствии с установленными разрешениями. Это может вынуждать продукт следовать неожиданным путям выполнения кода, оставляя его в недопустимом состоянии.
https://cwe.mitre.org/data/definitions/280.html →Открыть в коллекции CWE →