pyLoad — бесплатный менеджер загрузок с открытым исходным кодом, написанный на Python. До версии 0.5.0b3.dev97 конечные точки JSON WebUI /json/package_order, /json/link_order и /json/abort_link применяли более слабые разрешения, чем основные методы API, которые они вызывают. Это позволяет аутентифицированным пользователям с низким уровнем привилегий выполнять операции MODIFY, которые должны быть запрещены собственной моделью разрешений pyLoad.
Эта уязвимость исправлена в версии 0.5.0b3.dev97.
Показать оригинальное описание (EN)
pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev97, the /json/package_order, /json/link_order, and /json/abort_link WebUI JSON endpoints enforce weaker permissions than the core API methods they invoke. This allows authenticated low-privileged users to execute MODIFY operations that should be denied by pyLoad's own permission model. This vulnerability is fixed in 0.5.0b3.dev97.
Характеристики атаки
Последствия
Строка CVSS v3.1