PdfDing — это автономный менеджер, программа просмотра и редактор PDF-файлов, обеспечивающий удобство работы на нескольких устройствах. До версии 1.7.1 функция check_shared_access_allowed() проверяет только существование сеанса — она не проверяет SharedPdf.inactive (срок действия/максимальное количество просмотров) или SharedPdf.deleted. Конечные точки обслуживания и загрузки полагаются исключительно на эту функцию, позволяя ранее авторизованным пользователям получать доступ к общему содержимому PDF после истечения срока действия, ограничения просмотра или мягкого удаления.
Эта проблема исправлена в версии 1.7.1.
Показать оригинальное описание (EN)
PdfDing is a selfhosted PDF manager, viewer and editor offering a seamless user experience on multiple devices. Prior to version 1.7.1, check_shared_access_allowed() validates only session existence — it does not check SharedPdf.inactive (expiration / max views) or SharedPdf.deleted. The Serve and Download endpoints rely solely on this function, allowing previously-authorized users to access shared PDF content after expiration, view limit, or soft-deletion. This issue has been patched in version 1.7.1.
Характеристики атаки
Последствия
Строка CVSS v3.1