Генеалогия — это PHP-приложение для создания генеалогического древа. До версии 5.9.1 критическая уязвимость контроля доступа в приложении генеалогии позволяла любому аутентифицированному пользователю передавать право собственности на произвольные неличные команды себе. Это позволяет полностью захватить рабочее пространство команды других пользователей и неограниченный доступ ко всем генеалогическим данным, связанным со скомпрометированной командой.
Эта уязвимость исправлена в версии 5.9.1.
Показать оригинальное описание (EN)
Genealogy is a family tree PHP application. Prior to 5.9.1, a critical broken access control vulnerability in the genealogy application allows any authenticated user to transfer ownership of arbitrary non-personal teams to themselves. This enables complete takeover of other users’ team workspaces and unrestricted access to all genealogy data associated with the compromised team. This vulnerability is fixed in 5.9.1.
Характеристики атаки
Последствия
Строка CVSS v3.1