PolarLearn — бесплатная программа обучения с открытым исходным кодом. В версии 0-PRERELEASE-15 и более ранних версиях POST /api/v1/auth/sign-in создает действительный сеанс для заблокированных учетных записей перед проверкой предоставленного пароля. Затем этот сеанс принимается по аутентифицированным маршрутам /api, обеспечивая доступ к данным учетной записи и действиям, прошедшим проверку подлинности, от имени заблокированного пользователя.
Показать оригинальное описание (EN)
PolarLearn is a free and open-source learning program. In 0-PRERELEASE-15 and earlier, POST /api/v1/auth/sign-in creates a valid session for banned accounts before verifying the supplied password. That session is then accepted across authenticated /api routes, enabling account data access and authenticated actions as the banned user.
Характеристики атаки
Последствия
Строка CVSS v4.0