CVE-2018-20345

Опубликовано: 21 дек. 2018

Источник: nvd

CVSS3: 5.3

CVSS2: 3.5

EPSS Низкий

Описание

Incorrect access control in StackStorm API (st2api) in StackStorm before 2.9.2 and 2.10.x before 2.10.1 allows an attacker (who has a StackStorm account and is authenticated against the StackStorm API) to retrieve datastore items for other users by utilizing the /v1/keys "?scope=all" and "?user=" query filter parameters. Enterprise editions with RBAC enabled are not affected.

Ссылки

https://stackstorm.com/2018/12/20/stackstorm-v2-9-2-and-v2-10-1-a-security-release/
Vendor Advisory
https://stackstorm.com/2018/12/20/stackstorm-v2-9-2-and-v2-10-1-a-security-release/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:stackstorm:stackstorm:*:*:*:*:*:*:*:*

Версия до 2.9.2 (исключая)

cpe:2.3:a:stackstorm:stackstorm:*:*:*:*:*:*:*:*

Версия от 2.10.0 (включая) до 2.10.1 (исключая)

EPSS

Процентиль: 57%

0.00356

Низкий

5.3 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

GHSA-6vf5-fpqv-99pp