CVE-2021-32624 in Keystone 5
Zusammenfassung
von VulDB • 05.06.2026
Keystone 5 ist eine Open-Source-CMS-Plattform zum Erstellen von Node.js-Anwendungen. Diese Sicherheitsmitteilung betrifft eine neu entdeckte Funktion in unserer Query-Infrastruktur, die es ermöglicht, Werte privater Felder direkt oder indirekt offenzulegen und damit den konfigurierten Zugriffsschutz zu umgehen. Dabei handelt es sich um einen Oracle-Angriff im Zusammenhang mit der Zugriffssteuerung (Access Control), da die Angriffsmethode einem Angreifer bei seinem Versuch hilft, Informationen preiszugeben, auf die er keinen Zugriff hat. Die Komplexität des erfolgreichen Angriffs wird durch einige längenabhängige Verhaltensweisen und die Genauigkeit der offengelegten Informationen begrenzt. Unter bestimmten Umständen können Feldwerte oder Metadaten von Feldwerten ermittelt werden, obwohl für das Feld bzw. die Liste eine `read`-Zugriffssteuerung konfiguriert ist. Wenn Sie private Felder oder Listen verwenden, sind Sie möglicherweise betroffen. Derzeit liegen keine Patches vor. Es gibt derzeit auch keine Workarounds.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.