Интерфейс API системы blog.admin версии 8.0 и более ранних версий содержит неправильный контроль доступа, который приводит к раскрытию конфиденциальных данных. Неавторизованные стороны могут получить конфиденциальную информацию об учетной записи администратора с помощью действующего токена, что ставит под угрозу безопасность системы.
Показать оригинальное описание (EN)
A blog.admin v.8.0 and before system's getinfobytoken API interface contains an improper access control which leads to sensitive data exposure. Unauthorized parties can obtain sensitive administrator account information via a valid token, threatening system security.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1