Piwigo — это веб-приложение для создания фотогалереи с открытым исходным кодом. До версии 16.3.0 метод API pwg.history.search в Piwigo регистрировался без опции admin_only, что позволяло неаутентифицированным пользователям получать доступ к полной истории посещений всех посетителей галереи. Эта проблема исправлена в версии 16.3.0.
Показать оригинальное описание (EN)
Piwigo is an open source photo gallery application for the web. Prior to version 16.3.0, the pwg.history.search API method in Piwigo is registered without the admin_only option, allowing unauthenticated users to access the full browsing history of all gallery visitors. This issue has been patched in version 16.3.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Piwigo Piwigo
cpe:2.3:a:piwigo:piwigo:*:*:*:*:*:*:*:*
|
— |
16.3.0
|