Gokapi — это автономный сервер обмена файлами с автоматическим сроком действия и поддержкой шифрования. До версии 2.2.3 поток входа в систему принимал запросы с учетными данными без механизмов защиты CSRF, привязанных к контексту сеанса браузера. Обработчик напрямую анализирует значения формы и создает сеанс при успешной проверке учетных данных.
Эта проблема исправлена в версии 2.2.3.
Показать оригинальное описание (EN)
Gokapi is a self-hosted file sharing server with automatic expiration and encryption support. Prior to version 2.2.3, the login flow accepts credential-bearing requests without CSRF protection mechanisms tied to the browser session context. The handler parses form values directly and creates a session on successful credential validation. This issue has been patched in version 2.2.3.
Характеристики атаки
Последствия
Строка CVSS v3.1