Gokapi — это автономный сервер обмена файлами с автоматическим сроком действия и поддержкой шифрования. До версии 2.2.3 реализация SSE статуса загрузки в /uploadStatus публикует глобальное состояние загрузки для любого прошедшего проверку подлинности прослушивателя и включает значения file_id, которые не относятся к запрашивающему пользователю. Эта проблема исправлена в версии 2.2.3.
Показать оригинальное описание (EN)
Gokapi is a self-hosted file sharing server with automatic expiration and encryption support. Prior to version 2.2.3, the upload status SSE implementation on /uploadStatus publishes global upload state to any authenticated listener and includes file_id values that are not scoped to the requesting user. This issue has been patched in version 2.2.3.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1