GlobaLeaks — бесплатное программное обеспечение с открытым исходным кодом для информирования о нарушениях. До версии 5.0.89 конечная точка /api/support GlobaLeaks выполняла минимальную проверку отправленных пользователем запросов на поддержку. В результате произвольные URL-адреса могут быть включены в электронные письма поддержки, отправляемые администраторам.
Версия 5.0.89 исправляет проблему.
Показать оригинальное описание (EN)
GlobaLeaks is free and open-source whistleblowing software. Prior to version 5.0.89, the /api/support endpoint of GlobaLeaks performs minimal validation on user-submitted support requests. As a result, arbitrary URLs can be included in support emails sent to administrators. Version 5.0.89 patches the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Globaleaks Globaleaks
cpe:2.3:a:globaleaks:globaleaks:*:*:*:*:*:*:*:*
|
— |
5.0.89
|