Payload — это бесплатная система управления контентом с открытым исходным кодом. До версии 3.79.1 в потоке аутентификации существовала уязвимость подделки межсайтовых запросов (CSRF). При определенных условиях настроенную защиту CSRF можно обойти, что позволит выполнять межсайтовые запросы.
Эта проблема исправлена в версии 3.79.1.
Показать оригинальное описание (EN)
Payload is a free and open source headless content management system. Prior to version 3.79.1, a Cross-Site Request Forgery (CSRF) vulnerability exists in the authentication flow. Under certain conditions, the configured CSRF protection could be bypassed, allowing cross-site requests to be made. This issue has been patched in version 3.79.1.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v3.1