Уязвимость была обнаружена в FastApiAdmin до версии 2.2.0. Эта уязвимость затрагивает функцию upload_file_controller файла /backend/app/api/v1/module_system/params/controller.py компонента Scheduled Task API. Выполнение манипуляции приводит к неограниченной загрузке.
Атака может быть инициирована удаленно. Эксплойт теперь общедоступен и может быть использован.
Показать оригинальное описание (EN)
A vulnerability was detected in FastApiAdmin up to 2.2.0. This vulnerability affects the function upload_file_controller of the file /backend/app/api/v1/module_system/params/controller.py of the component Scheduled Task API. Performing a manipulation results in unrestricted upload. The attack can be initiated remotely. The exploit is now public and may be used.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0