Версии OpenViking до 0.3.3 содержат уязвимость отсутствия авторизации в конечных точках опроса задач, которая позволяет неавторизованным злоумышленникам подсчитывать или получать метаданные фоновых задач, созданные другими пользователями. Злоумышленники могут получить доступ к маршрутам /api/v1/tasks и /api/v1/tasks/{task_id} без аутентификации, чтобы раскрыть тип задачи, состояние задачи, идентификаторы ресурсов, URI архива, полезные данные результатов и информацию об ошибках, что может привести к межклиентскому взаимодействию в многопользовательских развертываниях.
Показать оригинальное описание (EN)
OpenViking versions prior to 0.3.3 contain a missing authorization vulnerability in the task polling endpoints that allows unauthorized attackers to enumerate or retrieve background task metadata created by other users. Attackers can access the /api/v1/tasks and /api/v1/tasks/{task_id} routes without authentication to expose task type, task status, resource identifiers, archive URIs, result payloads, and error information, potentially causing cross-tenant interference in multi-tenant deployments.
Характеристики атаки
Последствия
Строка CVSS v4.0