В FastApiAdmin была обнаружена слабость до версии 2.2.0. Этой проблеме подвержена функция download_controller файла /backend/app/api/v1/module_common/file/controller.py компонента Download Endpoint. Эта манипуляция аргументом file_path приводит к раскрытию информации.
Атаку можно инициировать удаленно. Эксплойт стал общедоступным и может быть использован для атак.
Показать оригинальное описание (EN)
A weakness has been identified in FastApiAdmin up to 2.2.0. Affected by this issue is the function download_controller of the file /backend/app/api/v1/module_common/file/controller.py of the component Download Endpoint. This manipulation of the argument file_path causes information disclosure. It is possible to initiate the attack remotely. The exploit has been made available to the public and could be used for attacks.
Характеристики атаки
Последствия
Строка CVSS v4.0