Vikunja — это автономная платформа управления задачами с открытым исходным кодом. До версии 2.2.2 метод LinkSharing.ReadAll() позволял пользователям, прошедшим проверку подлинности общих ссылок, перечислять все общие ссылки для проекта, включая их секретные хэши. Хотя LinkSharing.CanRead() корректно блокирует чтение отдельных общих ресурсов пользователями ссылок через ReadOne, обработчик ReadAllWeb обходит эту проверку, никогда не вызывая CanRead().
Злоумышленник, имеющий общий доступ к ссылкам только для чтения, может получить хэши для общих ссылок для записи или администрирования в том же проекте и пройти аутентификацию с ними, получив полный доступ с правами администратора. Версия 2.2.2 исправляет проблему.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Prior to version 2.2.2, the `LinkSharing.ReadAll()` method allows link share authenticated users to list all link shares for a project, including their secret hashes. While `LinkSharing.CanRead()` correctly blocks link share users from reading individual shares via `ReadOne`, the `ReadAllWeb` handler bypasses this check by never calling `CanRead()`. An attacker with a read-only link share can retrieve hashes for write or admin link shares on the same project and authenticate with them, escalating to full admin access. Version 2.2.2 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1