OliveTin предоставляет доступ к предопределенным командам оболочки из веб-интерфейса. До версии 3000.11.0 OliveTin позволял неаутентифицированному гостю прекращать выполнение действий с помощью KillAction, даже если включен параметр authRequireGuestsToLogin: true. Гостям правильно блокируется доступ к панели управления, но они по-прежнему могут напрямую вызывать RPC KillAction и успешно останавливать выполняемое действие.
Это нарушение контроля доступа, которое приводит к несанкционированному отказу в обслуживании при выполнении законных действий. Эта проблема исправлена в версии 3000.11.0.
Показать оригинальное описание (EN)
OliveTin gives access to predefined shell commands from a web interface. Prior to version 3000.11.0, OliveTin allows an unauthenticated guest to terminate running actions through KillAction even when authRequireGuestsToLogin: true is enabled. Guests are correctly blocked from dashboard access, but can still call the KillAction RPC directly and successfully stop a running action. This is a broken access control issue that causes unauthorized denial of service against legitimate action executions. This issue has been patched in version 3000.11.0.
Характеристики атаки
Последствия
Строка CVSS v3.1