Конечные точки «/logs» и «/logs-stream» в маршрутизаторе журналов позволяют любому авторизованному пользователю читать полный буфер журнала приложения. Этим конечным точкам требуется только базовая аутентификация («get_current_active_user») без каких-либо проверок привилегий (например, «is_superuser»).
Показать оригинальное описание (EN)
The '/logs' and '/logs-stream' endpoints in the log router allow any authenticated user to read the full application log buffer. These endpoints only require basic authentication ('get_current_active_user') without any privilege checks (e.g., 'is_superuser').
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1