Tandoor Recipes - это приложение для управления рецептами, планирования блюд и создания списков покупок. До 2.6.4 RecipePookViewSet и Recip…
Tandoor Recipes - это приложение для управления рецептами, планирования блюд и создания списков покупок. До 2.6.4 RecipePookViewSet и RecipeBookEntryViewSet используют CustomIsShared в качестве альтернативного класса разрешений, но CustomIsShared.has_object_permission() возвращает True для всех методов HTTP, включая УДАЛЕНИЕ, PUT и PATCH, без проверки request.метод в SAFE_METHODS. Любой пользователь, который находится в общем списке RecipeBook, может удалить или перезаписать его, даже если общий доступ семантически читается. Эта уязвимость исправлена в 2.6.4.
Программный продукт предоставляет API или аналогичный интерфейс для взаимодействия с внешними субъектами, однако интерфейс включает опасный метод или функцию, которые не имеют надлежащих ограничений.
https://cwe.mitre.org/data/definitions/749.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →