StudioCMS — это встроенная в Astro автономная система управления контентом, отображаемая на стороне сервера. До версии 0.4.3 конечная точка updateUserNotifications принимает идентификатор пользователя из полезных данных запроса и использует его для обновления настроек уведомлений этого пользователя. Он проверяет, что вызывающий абонент вошел в систему, но никогда не проверяет, что вызывающий объект является владельцем целевой учетной записи (id !== userData.user.id).
Любой прошедший проверку подлинности посетитель может изменить настройки уведомлений для любого пользователя, включая отключение уведомлений администратора для подавления обнаружения вредоносной активности. Эта уязвимость исправлена в версии 0.4.3.
Показать оригинальное описание (EN)
StudioCMS is a server-side-rendered, Astro native, headless content management system. Prior to 0.4.3, the updateUserNotifications endpoint accepts a user ID from the request payload and uses it to update that user's notification preferences. It checks that the caller is logged in but never verifies that the caller owns the target account (id !== userData.user.id). Any authenticated visitor can modify notification preferences for any user, including disabling admin notifications to suppress detection of malicious activity. This vulnerability is fixed in 0.4.3.
Характеристики атаки
Последствия
Строка CVSS v3.1