APTRS (Automated Penetration Testing Reporting System) - это автоматизированный инструмент отчетности на основе Python и Django, предназнач…

APTRS (Automated Penetration Testing Reporting System) - это автоматизированный инструмент отчетности на основе Python и Django, предназначенный для тестировщиков проникновения и организаций безопасности. До версии 2.0.1 конечная точка edit_user (POST /api/auth/edituser/<pk>) позволяет любому пользователю, который может достичь этой конечной точки и отправить созданное разрешение на эскалацию своей собственной учетной записи (или любой другой учетной записи) суперпользователю, включив «is_superuser»: true в орган запроса. Первопричина заключается в том, что CustomUserSerializer явно включает is_superuser в свой список полей, но опускает его из read_only_fields, что делает его записным полем. Просмотр редактирования_user не выполняет дополнительной валидации, чтобы предотвратить изменение этого поля не-суперпользователями. Как только is_superuser настроен на true, получение неограниченного доступа ко всем функциональным возможностям приложения, не требуя повторной аутентификации. Этот вопрос был исправлен в версии 2.0.1.