Gokapi — это автономный сервер обмена файлами с автоматическим сроком действия и поддержкой шифрования. До версии 2.2.3 зарегистрированный пользователь без прав на создание или изменение файловых запросов мог создать кратковременный ключ API, имеющий на это разрешение. Пользователь должен быть зарегистрирован в Gokapi.
Если нет пользователей с доступом к меню администрирования/загрузки, это не повлияет. Эта проблема исправлена в версии 2.2.3.
Показать оригинальное описание (EN)
Gokapi is a self-hosted file sharing server with automatic expiration and encryption support. Prior to version 2.2.3, a registered user without privileges to create or modify file requests is able to create a short-lived API key that has the permission to do so. The user must be registered with Gokapi. If there are no users with access to the admin/upload menu, there is no impact. This issue has been patched in version 2.2.3.
Характеристики атаки
Последствия
Строка CVSS v3.1