Statmatic — это система управления контентом (CMS) на базе Laravel и Git. До версий 5.73.11 и 6.4.0 адреса электронной почты пользователей включались в ответы от конечной точки данных типа поля пользователя для пользователей панели управления, у которых не было разрешения «просмотр пользователей». Это исправлено в версиях 5.73.11 и 6.4.0.
Показать оригинальное описание (EN)
Statmatic is a Laravel and Git powered content management system (CMS). Prior to versions 5.73.11 and 6.4.0, user email addresses were included in responses from the user fieldtype’s data endpoint for control panel users who did not have the "view users" permission. This has been fixed in 5.73.11 and 6.4.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1