Netmaker создает сети с помощью WireGuard. До версии 1.5.0 обработчик обновлений пользователей (PUT /api/users/{username}) не проходил проверку, чтобы помешать пользователю с ролью администратора назначить роль суперадминистратора во время обновлений учетной записи. Хотя код правильно запрещает администратору назначать роль администратора другому пользователю, он не включает эквивалентную проверку для роли суперадминистратора.
Эта проблема исправлена в версии 1.5.0.
Показать оригинальное описание (EN)
Netmaker makes networks with WireGuard. Prior to version 1.5.0, the user update handler (PUT /api/users/{username}) lacks validation to prevent an admin-role user from assigning the super-admin role during account updates. While the code correctly blocks an admin from assigning the admin role to another user, it does not include an equivalent check for the super-admin role. This issue has been patched in version 1.5.0.
Характеристики атаки
Последствия
Строка CVSS v4.0