Statmatic — это система управления контентом (CMS) на базе Laravel и Git. До версий 6.3.3 и 5.73.10 злоумышленник мог использовать уязвимость в функции сброса пароля, чтобы перехватить токен пользователя и сбросить пароль от его имени. Злоумышленник должен знать адрес электронной почты действующей учетной записи на сайте, а реальный пользователь должен слепо щелкнуть ссылку в своем электронном письме, даже если он не запрашивал сброс.
Это было исправлено в версиях 6.3.3 и 5.73.10.
Показать оригинальное описание (EN)
Statmatic is a Laravel and Git powered content management system (CMS). Prior to versions 6.3.3 and 5.73.10, an attacker may leverage a vulnerability in the password reset feature to capture a user's token and reset the password on their behalf. The attacker must know the email address of a valid account on the site, and the actual user must blindly click the link in their email even though they didn't request the reset. This has been fixed in 6.3.3 and 5.73.10.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Statamic Statamic
cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:*
|
— |
5.73.10
|
|
Statamic Statamic
cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:*
|
6.0.0
|
6.3.3
|