Конечная точка '/api/v1/files/images/{flow_id}/{file_name}' не применяет никаких проверок аутентификации или авторизации, позволяя любому неаутентифицированному пользователю загружать изображения, принадлежащие любому потоку, зная (или угадывая) идентификатор потока и имя файла.
Показать оригинальное описание (EN)
The '/api/v1/files/images/{flow_id}/{file_name}' endpoint does not enforce any authentication or authorization checks, allowing any unauthenticated user to download images belonging to any flow by knowing (or guessing) the flow ID and file name.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0