Gokapi — это автономный сервер обмена файлами с автоматическим сроком действия и поддержкой шифрования. До версии 2.2.3 уязвимость повышения привилегий в логике понижения ранга пользователя позволяла существующим ключам API пониженного пользователя сохранять разрешения ApiPermManageFileRequests и ApiPermManageLogs, обеспечивая постоянный доступ к конечным точкам управления запросами на загрузку и просмотра журналов после того, как пользователь был лишен всех привилегий. Эта проблема исправлена в версии 2.2.3.
Показать оригинальное описание (EN)
Gokapi is a self-hosted file sharing server with automatic expiration and encryption support. Prior to version 2.2.3, a privilege escalation vulnerability in the user rank demotion logic allows a demoted user's existing API keys to retain ApiPermManageFileRequests and ApiPermManageLogs permissions, enabling continued access to upload-request management and log viewing endpoints after the user has been stripped of all privileges. This issue has been patched in version 2.2.3.
Характеристики атаки
Последствия
Строка CVSS v3.1