В Woahai321 ListSync до версии 0.6.6 обнаружена уязвимость. Эта проблема затрагивает функцию Requests.post файла list-sync-main/api_server.py компонента JSON Handler. Манипуляция приводит к подделке запроса на стороне сервера.
Атаку можно провести удаленно. Эксплойт был раскрыт публике и может быть использован. Проект был заранее проинформирован о проблеме в отчете о проблеме, но пока не ответил.
Показать оригинальное описание (EN)
A vulnerability has been found in Woahai321 ListSync up to 0.6.6. This issue affects the function requests.post of the file list-sync-main/api_server.py of the component JSON Handler. The manipulation leads to server-side request forgery. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used. The project was informed of the problem early through an issue report but has not responded yet.
Характеристики атаки
Последствия
Строка CVSS v4.0