Flare — это автономная платформа для обмена файлами на базе Next.js, которая интегрируется с инструментами создания снимков экрана. До версии 1.7.2 конечная точка миниатюр не проверяла пароль для файлов, защищенных паролем. Он проверяет владельца/администратора личных файлов, но пропускает проверку пароля, позволяя получить доступ к миниатюрам без пароля.
Эта проблема исправлена в версии 1.7.2.
Показать оригинальное описание (EN)
Flare is a Next.js-based, self-hostable file sharing platform that integrates with screenshot tools. Prior to version 1.7.2, the thumbnail endpoint does not validate the password for password‑protected files. It checks ownership/admin for private files but skips password verification, allowing thumbnail access without the password. This issue has been patched in version 1.7.2.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Flintsh Flare
cpe:2.3:a:flintsh:flare:*:*:*:*:*:*:*:*
|
— |
1.7.2
|