OpenViking до версии 0.1.18, до фиксации 0251c70, содержит неработающую уязвимость контроля доступа, которая позволяет неаутентифицированным злоумышленникам получить права ROOT, если конфигурация root_api_key опущена. Злоумышленники могут отправлять запросы к защищенным конечным точкам без заголовков аутентификации для доступа к административным функциям, включая управление учетными записями, операции с ресурсами и конфигурацию системы.
Показать оригинальное описание (EN)
OpenViking through version 0.1.18, prior to commit 0251c70, contains a broken access control vulnerability that allows unauthenticated attackers to gain ROOT privileges when the root_api_key configuration is omitted. Attackers can send requests to protected endpoints without authentication headers to access administrative functions including account management, resource operations, and system configuration.
Характеристики атаки
Последствия
Строка CVSS v4.0