Vikunja — это автономная платформа управления задачами с открытым исходным кодом. До версии 2.2.1, когда API Vikunja возвращает задачи, он заполняет поле linked_tasks полными объектами задач для всех связанных задач без проверки, имеет ли запрашивающий пользователь разрешение на чтение проектов этих задач. Аутентифицированный пользователь, который может читать задачу, имеющую связи между проектами, получит полную информацию (название, описание, сроки выполнения, приоритет, процент выполнения, идентификатор проекта и т. д.) задач в проектах, к которым у него нет доступа.
Версия 2.2.1 исправляет проблему.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Prior to version 2.2.1, when the Vikunja API returns tasks, it populates the `related_tasks` field with full task objects for all related tasks without checking whether the requesting user has read permission on those tasks' projects. An authenticated user who can read a task that has cross-project relations will receive full details (title, description, due dates, priority, percent completion, project ID, etc.) of tasks in projects they have no access to. Version 2.2.1 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vikunja Vikunja
cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
|
— |
2.2.1
|