InfluxDB OSS 2.x - 2.7.11 хранит токен административным оператором под организацией по умолчанию, что позволяет авторизованным пользователя…
InfluxDB OSS 2.x - 2.7.11 хранит токен административным оператором под организацией по умолчанию, что позволяет авторизованным пользователям с доступом к средствам авторизации организации по умолчанию получить токен оператора. InfluxDB OSS 1.x, Enterprise, Cloud, Cloud Dedicated и Clustered не затрагиваются. Примечание: Исследователь утверждает, что InfluxDB позволяет администраторам всех Access получать все токены с помощью команды "всплывающего auth ls". Поставщик указывает, что функция организаций работает по назначению и что пользователи могут принять решение о добавлении пользователей к организациям, не являющимся не по умолчанию. Будущая версия InfluxDB 2.x удалит возможность извлечения токенов из API.
Продукт хранит конфиденциальную информацию, не ограничивая должным образом доступ на чтение или запись для неавторизованных субъектов.
https://cwe.mitre.org/data/definitions/922.html →Открыть в коллекции CWE →