Chartbrew — это веб-приложение с открытым исходным кодом, которое может напрямую подключаться к базам данных и API и использовать данные для создания диаграмм. До версии 4.8.4 в конечной точке фильтра диаграммы POST /project/:project_id/chart/:chart_id/filter отсутствует промежуточное программное обеспечениеverifyToken и checkPermissions, что позволяет неаутентифицированным пользователям получать доступ к данным диаграммы из любой команды/проекта. Эта проблема исправлена в версии 4.8.4.
Показать оригинальное описание (EN)
Chartbrew is an open-source web application that can connect directly to databases and APIs and use the data to create charts. Prior to version 4.8.4, the chart filter endpoint POST /project/:project_id/chart/:chart_id/filter is missing both verifyToken and checkPermissions middleware, allowing unauthenticated users to access chart data from any team/project. This issue has been patched in version 4.8.4.
Характеристики атаки
Последствия
Строка CVSS v4.0