В уязвимых версиях Octopus Server можно было создать новый ключ API из существующего токена доступа, в результате чего срок действия нового ключа API превышал срок действия исходного ключа API, использованного для создания токена доступа.
Показать оригинальное описание (EN)
In affected versions of Octopus Server it was possible to create a new API key from an existing access token resulting in the new API key having a lifetime exceeding the original API key used to mint the access token.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0