Конечные точки API потоков/сообщений GROWI OpenAI не выполняют авторизацию. Затронуты версии 7.4.5 и более ранние. Вошедший в систему пользователь, который знает идентификатор общего ИИ-помощника, может просматривать и/или изменять потоки/сообщения другого пользователя.
Показать оригинальное описание (EN)
GROWI OpenAI thread/message API endpoints do not perform authorization. Affected are v7.4.5 and earlier versions. A logged-in user who knows a shared AI assistant's identifier may view and/or tamper the other user's threads/messages.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0