Anytype Heart — это библиотека промежуточного программного обеспечения для Anytype. Аутентификацию на основе запроса для локального клиентского API gRPC можно обойти, что позволяет злоумышленнику получить доступ без 4-значного кода. Эта уязвимость исправлена в Anytype-heart 0.48.4, Anytype-cli 0.1.11 и Anytype Desktop 0.54.5.
Показать оригинальное описание (EN)
Anytype Heart is the middleware library for Anytype. The challenge-based authentication for the local gRPC client API can be bypassed, allowing an attacker to gain access without the 4-digit code. This vulnerability is fixed in anytype-heart 0.48.4, anytype-cli 0.1.11, and Anytype Desktop 0.54.5.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Anytype Anytype_Cli
cpe:2.3:a:anytype:anytype_cli:*:*:*:*:*:*:*:*
|
— |
0.1.11
|
|
Anytype Anytype_Desktop
cpe:2.3:a:anytype:anytype_desktop:*:*:*:*:*:*:*:*
|
— |
0.54.5
|
|
Anytype Anytype_Heart
cpe:2.3:a:anytype:anytype_heart:*:*:*:*:*:*:*:*
|
— |
0.48.4
|