Blinko — это проект для создания заметок на картах с использованием искусственного интеллекта. До версии 1.8.4 существовала уязвимость IDOR, из-за которой конечная точка user.detail передавала токен суперадминистратора. Эта проблема исправлена в версии 1.8.4.
Показать оригинальное описание (EN)
Blinko is an AI-powered card note-taking project. Prior to version 1.8.4, there is an IDOR vulnerability where user.detail Endpoint Leaks the Superadmin Token. This issue has been patched in version 1.8.4.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Blinko Blinko
cpe:2.3:a:blinko:blinko:*:*:*:*:*:*:*:*
|
— |
1.8.4
|
Ссылки 3
https://github.com/blinkospace/blinko/commit/bef6b770743e87c630db2d00d7049dabd9…
security-advisories@github.com
https://github.com/blinkospace/blinko/releases/tag/1.8.4
security-advisories@github.com
https://github.com/blinkospace/blinko/security/advisories/GHSA-4ffv-78qx-9p66
security-advisories@github.com