Плагин Google Cloud Storage для Craft CMS обеспечивает интеграцию Google Cloud Storage с Craft CMS. В версиях ветки 2.x до 2.2.1 конечная точка `DefaultController->actionLoadBucketData()` позволяет неаутентифицированным пользователям с действительным токеном CSRF просматривать список сегментов, которые плагину разрешено видеть. Пользователям следует обновить плагин до версии 2.2.1, чтобы устранить проблему.
Показать оригинальное описание (EN)
The Google Cloud Storage for Craft CMS plugin provides a Google Cloud Storage integration for Craft CMS. In versions on the 2.x branch prior to 2.2.1, the `DefaultController->actionLoadBucketData()` endpoint allows unauthenticated users with a valid CSRF token to view a list of buckets that the plugin is allowed to see. Users should update to version 2.2.1 of the plugin to mitigate the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0