Netmaker создает сети с помощью WireGuard. До версии 1.5.0 пользователь, которому назначена роль пользователя платформы, мог получить закрытые ключи WireGuard всех конфигураций Wireguard в сети, вызвав GET /api/extclients/{network} или GET /api/nodes/{network}. Хотя пользовательский интерфейс Netmaker ограничивает видимость, конечные точки API возвращают полные записи, включая закрытые ключи, без фильтрации на основе принадлежности запрашивающего пользователя.
Эта проблема исправлена в версии 1.5.0.
Показать оригинальное описание (EN)
Netmaker makes networks with WireGuard. Prior to version 1.5.0, a user assigned the platform-user role can retrieve WireGuard private keys of all wireguard configs in a network by calling GET /api/extclients/{network} or GET /api/nodes/{network}. While the Netmaker UI restricts visibility, the API endpoints return full records, including private keys, without filtering based on the requesting user's ownership. This issue has been patched in version 1.5.0.
Характеристики атаки
Последствия
Строка CVSS v4.0