Vito — это автономное веб-приложение, которое помогает управлять серверами и развертывать приложения PHP на рабочих серверах. До версии 3.20.3 отсутствие проверки авторизации в действиях по созданию сайта рабочего процесса позволяло аутентифицированному злоумышленнику с доступом на запись рабочего процесса в одном проекте создавать сайты и управлять ими на серверах, принадлежащих другим проектам, путем предоставления внешнего server_id. Эта проблема исправлена в версии 3.20.3.
Показать оригинальное описание (EN)
Vito is a self-hosted web application that helps manage servers and deploy PHP applications into production servers. Prior to version 3.20.3, a missing authorization check in workflow site-creation actions allows an authenticated attacker with workflow write access in one project to create/manage sites on servers belonging to other projects by supplying a foreign server_id. This issue has been patched in version 3.20.3.
Характеристики атаки
Последствия
Строка CVSS v3.1