Frappe — это полнофункциональная платформа веб-приложений. До версий 14.100.1, 15.100.0 и 16.6.0 злонамеренный пользователь мог отправить созданный запрос в конечную точку, что привело бы к тому, что сервер выполнил HTTP-вызов службы по выбору пользователя. Эта уязвимость исправлена в версиях 14.100.1, 15.100.0 и 16.6.0.
Показать оригинальное описание (EN)
Frappe is a full-stack web application framework. Prior to 14.100.1, 15.100.0, and 16.6.0, a malicious user could send a crafted request to an endpoint which would lead to the server making an HTTP call to a service of the user's choice. This vulnerability is fixed in 14.100.1, 15.100.0, and 16.6.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1