V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-43889
ANC
Средний

Outline - это сервис, который позволяет осуществлять совместную документацию. До 1.7.0, файл ads.create API принимает как collectionId, так…

CVSS
6.5
Средний
EPSS
0.00
p11
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Outline - это сервис, который позволяет осуществлять совместную документацию. До 1.7.0, файл ads.create API принимает как collectionId, так и документированный одновременно и при публикации = ложный, проверяет только доступ к чтению для каждого - пропуск проверки разрешения «поделиться». Последующий сайт share.update разрешает публикацию с использованием политики OR (может поделиться сбором ИЛИ может поделиться документом), поэтому злоумышленник, который имеет разрешение на акции на одну несвязанную коллекцию, может опубликовать акцию, которая выставляет произвольный документ, которым они не могут законно делиться, делая его общедоступным для пользователей с полным доступом. Эта уязвимость фиксируется в разделе 1.7.0.

Теги · CWE
CWE-863
Затронутые продукты
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.002 · p11
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается