この脆弱性は、Modular DS が内部でリクエストを処理する方法に存在します。
この脆弱性により、ユーザーに管理者権限が付与され、パスワードを入力せずに機密ルートにアクセスでき、ログインセッション中にパスワードを入力することなくサイトユーザーのデータを列挙することさえ可能になります。
これにより、管理者はユーザーの認証情報を手動で入力することなくサイトを編集できるようになります。
この脆弱性は以前に発見されましたが、修正されたアップデートが公開された後にユーザーに管理者権限が付与された点に注意してください。
コメント