Vikunja — это автономная платформа управления задачами с открытым исходным кодом. До версии 2.2.1 конечная точка GET /api/v1/projects/:project/webhooks возвращала учетные данные веб-перехватчика BasicAuth («basic_auth_user» и «basic_auth_password») в виде открытого текста любому пользователю, имеющему доступ на чтение к проекту. Хотя существующий код правильно маскирует поле «секрет» HMAC, поля BasicAuth, добавленные в более поздней миграции, не получили такой же обработки.
Это позволяет соавторам, имеющим доступ только для чтения, красть учетные данные, предназначенные для аутентификации на внешних приемниках веб-перехватчиков. Версия 2.2.1 исправляет проблему.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Prior to version 2.2.1, the `GET /api/v1/projects/:project/webhooks` endpoint returns webhook BasicAuth credentials (`basic_auth_user` and `basic_auth_password`) in plaintext to any user with read access to the project. While the existing code correctly masks the HMAC `secret` field, the BasicAuth fields added in a later migration were not given the same treatment. This allows read-only collaborators to steal credentials intended for authenticating against external webhook receivers. Version 2.2.1 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vikunja Vikunja
cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
|
— |
2.2.1
|