Appsmith - это платформа для создания админ-панелей, внутренних инструментов и панелей инструментов. В версиях 1.94 и ниже общедоступные пр…
Appsmith - это платформа для создания админ-панелей, внутренних инструментов и панелей инструментов. В версиях 1.94 и ниже общедоступные приложения позволяют пользователям без аутентификации выполнять неопубликованные (редактные) действия, отправляя viewMode=false (или опуская его) в POST /api/v1/actions/execute. Это обходит ожидаемую границу публикации, где публичные зрители должны выполнять только опубликованные действия, а не версии режима редактирования. Атака может привести к чувствительному раскрытию данных, выполнению запросов и API-интерфейсов в стиле редактирования, доступу к данным разработки и способности вызывать поведение побочных эффектов. Этот вопрос не имеет высвобожденного исправления на момент публикации.
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →