GHSA-2hr5-cvwp-jr5w

Опубликовано: 20 дек. 2024

Источник: github

Github: Прошло ревью

CVSS4: 2.1

CVSS3: 4.3

Описание

Oqtane Framework Insecure Direct Object Reference vulnerability

An IDOR (Insecure Direct Object Reference) vulnerability exists in Oqtane Framework 6.0.0, allowing a logged-in user to access inbox messages of other users by manipulating the notification ID in the request URL. By changing the notification ID, an attacker can view sensitive mail details belonging to other users.

Ссылки

Пакеты

Наименование

Oqtane.Framework

nuget

Затронутые версииВерсия исправления

<= 6.0.0

Отсутствует

Наименование

Oqtane.Client

nuget

Затронутые версииВерсия исправления

<= 6.0.0

Отсутствует

Наименование

Oqtane.Server

nuget

Затронутые версииВерсия исправления

<= 6.0.0

Отсутствует

Наименование

Oqtane.Shared

nuget

Затронутые версииВерсия исправления

<= 6.0.0

Отсутствует

EPSS

Процентиль: 28%

0.00098

Низкий

2.1 Low

CVSS4

4.3 Medium

CVSS3

CVE ID

CVE-2024-55186

Дефекты

CWE-639

CWE-863

Связанные уязвимости

CVE-2024-55186

CVSS3: 4.3

nvd

около 1 года назад

An IDOR (Insecure Direct Object Reference) vulnerability exists in oqtane Framework 6.0.0, allowing a logged-in user to access inbox messages of other users by manipulating the notification ID in the request URL. By changing the notification ID, an attacker can view sensitive mail details belonging to other users.

EPSS

Процентиль: 28%

0.00098

Низкий

2.1 Low

CVSS4

4.3 Medium

CVSS3

CVE ID

CVE-2024-55186

Дефекты

CWE-639

CWE-863