Papra — это минималистичная платформа для управления документами и архивирования. До версии 26.4.0 ключи API с датой expiresAt никогда не проверялись по текущему времени во время аутентификации. Любой ключ API — независимо от даты истечения его срока действия — принимается на неопределенный срок, что позволяет пользователю, срок действия ключа которого истек, продолжать доступ ко всем защищенным конечным точкам, как если бы ключ все еще действителен.
Эта уязвимость исправлена в версии 26.4.0.
Показать оригинальное описание (EN)
Papra is a minimalistic document management and archiving platform. Prior to 26.4.0, API keys with an expiresAt date are never validated against the current time during authentication. Any API key — regardless of its expiration date — is accepted indefinitely, allowing a user whose key has expired to continue accessing all protected endpoints as if the key were still valid. This vulnerability is fixed in 26.4.0.
Характеристики атаки
Последствия
Строка CVSS v3.1