Statamic — это система управления контентом (CMS) на базе Laravel и Git. До версий 5.73.16 и 6.7.2 конечной точкой предварительного просмотра уценки можно было манипулировать для возврата расширенных данных из произвольных типов полей. В частности, используя тип поля «Пользователи», прошедший проверку подлинности пользователь панели управления может получить конфиденциальные пользовательские данные, включая адреса электронной почты, зашифрованные данные ключей доступа и зашифрованные коды двухфакторной аутентификации.
Это было исправлено в версиях 5.73.16 и 6.7.2.
Показать оригинальное описание (EN)
Statamic is a Laravel and Git powered content management system (CMS). Prior to versions 5.73.16 and 6.7.2, the markdown preview endpoint could be manipulated to return augmented data from arbitrary fieldtypes. With the users fieldtype specifically, an authenticated control panel user could retrieve sensitive user data including email addresses, encrypted passkey data, and encrypted two-factor authentication codes. This has been fixed in 5.73.16 and 6.7.2.
Характеристики атаки
Последствия
Строка CVSS v3.1