Проблема в функции «Забыли пароль» в Daylight Studio FuelCMS v1.5.2 позволяет неаутентифицированным злоумышленникам получить токен сброса пароля пользователя-жертвы через созданную ссылку, помещенную в действительное сообщение электронной почты.
Показать оригинальное описание (EN)
An issue in the Forgot Password feature of Daylight Studio FuelCMS v1.5.2 allows unauthenticated attackers to obtain the password reset token of a victim user via a crafted link placed in a valid e-mail message.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1