Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows-плее…
Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows-плеера. До версии 4.4.1 любой аутентифицированный пользователь может вручную создать URL-адрес для предварительного просмотра кампаний/областей и экспортировать сохраненные отчеты, принадлежащие другим пользователям. Эксплуатация уязвимости возможна от имени авторизованного пользователя, который имеет любую из следующих привилегий: страница, на которой показаны все макеты, которые были созданы для целей управления планировкой; страница, которая показывает все Кампании, которые были созданы для целей управления Кампанией; и страница, которая показывает все отчеты, которые были сохранены. Пользователи должны обновиться до версии 4.4.1, которая устраняет эту проблему. Для исправления необходимо обновление до фиксированной версии.
Функциональность авторизации системы не предотвращает возможности одного пользователя получить доступ к данным другого пользователя путём изменения значения ключа, идентифицирующего эти данные.
https://cwe.mitre.org/data/definitions/639.html →Открыть в коллекции CWE →