В FastApiAdmin до версии 2.2.0 обнаружена уязвимость безопасности. Это влияет на функцию upload_controller файла /backend/app/api/v1/module_common/file/controller.py компонента API запланированных задач. Такая манипуляция приводит к неограниченной загрузке.
Атаку можно запустить удаленно. Эксплойт был раскрыт публично и может быть использован.
Показать оригинальное описание (EN)
A security vulnerability has been detected in FastApiAdmin up to 2.2.0. This affects the function upload_controller of the file /backend/app/api/v1/module_common/file/controller.py of the component Scheduled Task API. Such manipulation leads to unrestricted upload. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0