Emlog — это система создания веб-сайтов с открытым исходным кодом. В версии 2.5.23 Emlog Pro уязвим к ошибке кода проверки сеанса из-за логической ошибки очистки. Это означает, что код подтверждения можно использовать повторно везде, где требуется код подтверждения электронной почты.
Эта проблема исправлена в коммите 1f726df.
Показать оригинальное описание (EN)
Emlog is an open source website building system. In version 2.5.23, Emlog Pro is vulnerable to a session verification code error due to a clearing logic error. This means the verification code could be reused anywhere an email verification code is required. This issue has been fixed in commit 1f726df.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Emlog Emlog
cpe:2.3:a:emlog:emlog:2.5.23:*:*:*:pro:*:*:*
|
— | — |