Indico — это система управления событиями, использующая Flask-Multipass, систему аутентификации с несколькими серверами для Flask. В версиях до 3.3.11 в конечной точке API, используемой для управления сериями событий, отсутствует проверка доступа, что обеспечивает неаутентифицированный или несанкционированный доступ к этой конечной точке. Эффект от этого ограничивается получением метаданных (название, цепочка категорий, дата начала/окончания) для событий в существующей серии, удалением существующей серии событий и изменением существующей серии событий.
Эта уязвимость НЕ допускает несанкционированного доступа к событиям (кроме основных метаданных, упомянутых выше), а также какого-либо вмешательства в видимые пользователем данные в событиях. Версия 3.3.11 устраняет проблему. В качестве обходного пути используйте веб-сервер, чтобы ограничить доступ к конечной точке API управления сериями.
Показать оригинальное описание (EN)
Indico is an event management system that uses Flask-Multipass, a multi-backend authentication system for Flask. In versions prior to 3.3.11, the API endpoint used to manage event series is missing an access check, allowing unauthenticated/unauthorized access to this endpoint. The impact of this is limited to getting the metadata (title, category chain, start/end date) for events in an existing series, deleting an existing event series, and modifying an existing event series. This vulnerability does NOT allow unauthorized access to events (beyond the basic metadata mentioned above), nor any kind of tampering with user-visible data in events. Version 3.3.11 fixes the issue. As a workaround, use the webserver to restrict access to the series management API endpoint.
Характеристики атаки
Последствия
Строка CVSS v3.1