Manyfold — это автономное веб-приложение с открытым исходным кодом для управления коллекцией 3D-моделей, особенно ориентированное на 3D-печать. До версии 0.133.1 метод get_model в ModelFilesController (строки 158–160) загружал модели с использованием Model.find_param(params[:model_id]) без policy_scope(), минуя авторизацию Pundit. Все остальные контроллеры правильно используют `policy_scope(Model).find_param()` (например, `ModelsController`, строка 263).
Версия 0.133.1 устраняет проблему.
Показать оригинальное описание (EN)
Manyfold is an open source, self-hosted web application for managing a collection of 3d models, particularly focused on 3d printing. Prior to version 0.133.1, the `get_model` method in `ModelFilesController` (line 158-160) loads models using `Model.find_param(params[:model_id])` without `policy_scope()`, bypassing Pundit authorization. All other controllers correctly use `policy_scope(Model).find_param()` (e.g., `ModelsController` line 263). Version 0.133.1 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Manyfold Manyfold
cpe:2.3:a:manyfold:manyfold:*:*:*:*:*:*:*:*
|
— |
0.133.1
|