Blinko — это проект для создания заметок на картах с использованием искусственного интеллекта. До версии 1.8.4 конечная точка /api/v1/comment/create имела уязвимость несанкционированного доступа, позволяющую злоумышленникам публиковать комментарии к любой заметке (включая частные заметки) без авторизации, даже если заметка не была опубликована публично. Конечная точка /api/v1/comment/list имеет ту же проблему, позволяя несанкционированный просмотр комментариев ко всем заметкам.
Эта проблема исправлена в версии 1.8.4.
Показать оригинальное описание (EN)
Blinko is an AI-powered card note-taking project. Prior to version 1.8.4, the /api/v1/comment/create endpoint has an unauthorized access vulnerability, allowing attackers to post comments on any note (including private notes) without authorization, even if the note has not been publicly shared. The /api/v1/comment/list endpoint has the same issue, allowing unauthorized viewing of comments on all notes. This issue has been patched in version 1.8.4.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Blinko Blinko
cpe:2.3:a:blinko:blinko:*:*:*:*:*:*:*:*
|
— |
1.8.4
|