OliveTin предоставляет доступ к предопределенным командам оболочки из веб-интерфейса. В версии 3000.10.2 и более ранних версиях Live EventStream OliveTin транслирует события выполнения и выходные данные действий аутентифицированным подписчикам информационной панели без принудительной авторизации для каждого действия. Аутентифицированный пользователь с низким уровнем привилегий может получать выходные данные о действиях, которые ему не разрешено просматривать, что приводит к нарушению контроля доступа и раскрытию конфиденциальной информации.
Показать оригинальное описание (EN)
OliveTin gives access to predefined shell commands from a web interface. In 3000.10.2 and earlier, OliveTin’s live EventStream broadcasts execution events and action output to authenticated dashboard subscribers without enforcing per-action authorization. A low-privileged authenticated user can receive output from actions they are not allowed to view, resulting in broken access control and sensitive information disclosure.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Olivetin Olivetin
cpe:2.3:a:olivetin:olivetin:*:*:*:*:*:*:*:*
|
— |
<= 3000.10.2
|