Grav - это файловая веб-платформа. До 1.8.0-beta.27 в плагине Grav Admin существует уязвимость пристрастий к плагину Grav Admin из-за отсут…
Grav - это файловая веб-платформа. До 1.8.0-beta.27 в плагине Grav Admin существует уязвимость пристрастий к плагину Grav Admin из-за отсутствия валидации уникальности имени пользователя при создании пользователей. Пользователь с разрешением пользователя может создать новую учетную запись, используя то же имя пользователя, что и существующая учетная запись администратора, установить новый пароль/электронную почту, а затем войти в систему в качестве администратора. Это эффективно позволяет перестраивать привилегии от ограниченных разрешений на пользователя до полного доступа администратора. Эта уязвимость зафиксирована в разделе 1,8.0-бета.27.
Продукт некорректно назначает привилегию конкретному субъекту, формируя для него непредусмотренную сферу управления.
https://cwe.mitre.org/data/definitions/266.html →Открыть в коллекции CWE →