Wallos — это самостоятельный трекер персональных подписок с открытым исходным кодом. До версии 4.6.2 Wallos позволял авторизованному пользователю удалять файлы аватаров, загруженные другими пользователями. Конечная точка удаления аватара не проверяет, принадлежит ли запрошенный аватар текущему пользователю.
В результате любой прошедший проверку подлинности пользователь, который знает или может обнаружить имя загруженного файла аватара другого пользователя, может удалить этот файл. Эта проблема исправлена в версии 4.6.2.
Показать оригинальное описание (EN)
Wallos is an open-source, self-hostable personal subscription tracker. Prior to version 4.6.2, Wallos allows an authenticated user to delete avatar files uploaded by other users. The avatar deletion endpoint does not verify that the requested avatar belongs to the current user. As a result, any authenticated user who knows or can discover another user's uploaded avatar filename can delete that file. This issue has been patched in version 4.6.2.
Характеристики атаки
Последствия
Строка CVSS v3.1