Tandoor Recipes - это приложение для управления рецептами, планирования питания и составления списков покупок. В версиях до 2.6.0 конвейер …
Tandoor Recipes - это приложение для управления рецептами, планирования питания и составления списков покупок. В версиях до 2.6.0 конвейер обработки изображений в Tandoor Recipes явно пропускает зачистку метаданных EXIF, перебалансировку изображений и проверку размеров форматов изображений WebP и GIF. Комментарий разработчика TODO в исходном коде признает это как известную проблему. В результате, когда пользователи загружают фотографии рецептов в формате WebP (формат по умолчанию для современных камер смартфонов), их конфиденциальные данные EXIF, включая GPS-координаты, модель камеры, временные метки и информацию о программном обеспечении, сохраняются и обслуживаются всем пользователям, которые могут просматривать рецепт. Версия 2.6.0 исправляет проблему.
Продукт предотвращает прямой доступ к ресурсу, содержащему чувствительную информацию, однако не ограничивает в достаточной мере доступ к метаданным, производным от исходной чувствительной информации.
https://cwe.mitre.org/data/definitions/1230.html →Открыть в коллекции CWE →