qui — это веб-интерфейс для управления экземплярами qBittorrent. Версии 1.14.1 и ниже используют разрешительную политику CORS, которая отражает произвольное происхождение, а также возвращает Access-Control-Allow-Credentials: true, что эффективно позволяет любой внешней веб-странице выполнять аутентифицированные запросы от имени вошедшего в систему пользователя. Злоумышленник может воспользоваться этим, обманом заставив жертву загрузить вредоносную веб-страницу, которая молча взаимодействует с приложением, используя сеанс жертвы, и потенциально может получить конфиденциальные данные, такие как ключи API и учетные данные, или даже добиться полной компрометации системы с помощью встроенного диспетчера внешних программ.
Эксплуатация требует, чтобы жертва получила доступ к приложению через имя хоста, отличное от локального хоста, и загрузила веб-страницу, контролируемую злоумышленником, что делает целенаправленные атаки социальной инженерии наиболее вероятным сценарием реального мира. На момент публикации эта проблема не была устранена.
Показать оригинальное описание (EN)
qui is a web interface for managing qBittorrent instances. Versions 1.14.1 and below use a permissive CORS policy that reflects arbitrary origins while also returning Access-Control-Allow-Credentials: true, effectively allowing any external webpage to make authenticated requests on behalf of a logged-in user. An attacker can exploit this by tricking a victim into loading a malicious webpage, which silently interacts with the application using the victim's session and potentially exfiltrating sensitive data such as API keys and account credentials, or even achieving full system compromise through the built-in External Programs manager. Exploitation requires that the victim access the application via a non-localhost hostname and load an attacker-controlled webpage, making highly targeted social-engineering attacks the most likely real-world scenario. This issue was not fixed at the time of publication.
Характеристики атаки
Последствия
Строка CVSS v4.0