Lychee — это бесплатный инструмент для управления фотографиями с открытым исходным кодом. До версии 7.1.0 в функции разблокировки пароля альбома Lychee существовала уязвимость авторизации, которая позволяла пользователям получать несанкционированный доступ к альбомам других пользователей, защищенным паролем. Когда пользователь разблокирует общедоступный альбом, защищенный паролем, система автоматически разблокирует ВСЕ другие общедоступные альбомы, использующие тот же пароль, что приводит к полному обходу авторизации.
Эта уязвимость исправлена в версии 7.1.0.
Показать оригинальное описание (EN)
Lychee is a free, open-source photo-management tool. Prior to 7.1.0, an authorization vulnerability exists in Lychee's album password unlock functionality that allows users to gain possibly unauthorized access to other users' password-protected albums. When a user unlocks a password-protected public album, the system automatically unlocks ALL other public albums that share the same password, resulting in a complete authorization bypass. This vulnerability is fixed in 7.1.0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Lycheeorg Lychee
cpe:2.3:a:lycheeorg:lychee:*:*:*:*:*:*:*:*
|
— |
7.1.0
|