Плагин Amazon S3 для Craft CMS обеспечивает интеграцию Amazon S3 с Craft CMS. В версиях с 2.0.2 по 2.2.4 неаутентифицированные пользователи могут просматривать список сегментов, к которым имеет доступ плагин. Конечная точка BucketsController->actionLoadBucketData() позволяет неаутентифицированным пользователям с действительным токеном CSRF просматривать список сегментов, которые плагину разрешено видеть.
Пользователям следует обновить плагин до версии 2.2.5, чтобы устранить проблему.
Показать оригинальное описание (EN)
The Amazon S3 for Craft CMS plugin provides an Amazon S3 integration for Craft CMS. In versions 2.0.2 through 2.2.4, unauthenticated users can view a list of buckets the plugin has access to. The `BucketsController->actionLoadBucketData()` endpoint allows unauthenticated users with a valid CSRF token to view a list of buckets that the plugin is allowed to see. Users should update to version 2.2.5 of the plugin to mitigate the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0