Vikunja — это автономная платформа управления задачами с открытым исходным кодом. Начиная с версии 0.8 и до версии 2.2.0, неаутентифицированные пользователи могут обходить встроенные ограничения скорости приложения, подменяя заголовки `X-Forwarded-For` или `X-Real-IP` из-за ограничения скорости, основанного на значении `(echo.Context).RealIP`. Неаутентифицированные пользователи могут злоупотреблять доступными им конечными точками для различных потенциальных последствий.
Непосредственной проблемой будет перебор имен пользователей или паролей определенных учетных записей. Этот обход позволяет выполнять неограниченное количество запросов к неаутентифицированным конечным точкам. Версия 2.2.0 исправляет проблему.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Starting in version 0.8 and prior to version 2.2.0, unauthenticated users are able to bypass the application's built-in rate-limits by spoofing the `X-Forwarded-For` or `X-Real-IP` headers due to the rate-limit relying on the value of `(echo.Context).RealIP`. Unauthenticated users can abuse endpoints available to them for different potential impacts. The immediate concern would be brute-forcing usernames or specific accounts' passwords. This bypass allows unlimited requests against unauthenticated endpoints. Version 2.2.0 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vikunja Vikunja
cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
|
0.8
|
2.2.0
|