Docmost — это вики-вики и программное обеспечение для документирования с открытым исходным кодом. Уязвимость обхода авторизации в версиях с 0.70.0 по 0.70.2 открывает доступ к ограниченным заголовкам дочерних страниц и фрагментам текста через конечную точку общедоступного поиска («POST /api/search/share-search») для общедоступного контента. Этот недостаток позволяет неаутентифицированным пользователям перебирать и извлекать контент, который должен оставаться скрытым от общедоступных зрителей, что приводит к нарушению конфиденциальности.
Версия 0.70.3 содержит патч.
Показать оригинальное описание (EN)
Docmost is open-source collaborative wiki and documentation software. An authorization bypass vulnerability in versions 0.70.0 through 0.70.2 exposes restricted child page titles and text snippets through the public search endpoint (`POST /api/search/share-search`) for publicly shared content. This flaw allows unauthenticated users to enumerate and retrieve content that should remain hidden from public share viewers, leading to a confidentiality breach. Version 0.70.3 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1