Уязвимость в flaskBlog v2.6.1, связанная с неправильным контролем доступа, позволяет злоумышленникам произвольно удалять учетные записи пол…
Уязвимость в flaskBlog v2.6.1, связанная с неправильным контролем доступа, позволяет злоумышленникам произвольно удалять учетные записи пользователей через специально сформированный запрос [1]. Проблема возникает из-за того, что логика удаления пользователей не проверяет соответствие регистра имени пользователя, что позволяет удалить учетную запись администратора, отправив запрос с именем admiN [1]. Рекомендуется обновить логику удаления пользователей, чтобы избежать удаления после преобразования имени пользователя в нижний регистр [1]. Источники: - [1] https://github.com/DogukanUrker/flaskBlog/issues/130
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →