CVE-2021-32624 in Keystone 5info

Zusammenfassung

von VulDB • 05.06.2026

Keystone 5 ist eine Open-Source-CMS-Plattform zum Erstellen von Node.js-Anwendungen. Diese Sicherheitsmitteilung betrifft eine neu entdeckte Funktion in unserer Query-Infrastruktur, die es ermöglicht, Werte privater Felder direkt oder indirekt offenzulegen und damit den konfigurierten Zugriffsschutz zu umgehen. Dabei handelt es sich um einen Oracle-Angriff im Zusammenhang mit der Zugriffssteuerung (Access Control), da die Angriffsmethode einem Angreifer bei seinem Versuch hilft, Informationen preiszugeben, auf die er keinen Zugriff hat. Die Komplexität des erfolgreichen Angriffs wird durch einige längenabhängige Verhaltensweisen und die Genauigkeit der offengelegten Informationen begrenzt. Unter bestimmten Umständen können Feldwerte oder Metadaten von Feldwerten ermittelt werden, obwohl für das Feld bzw. die Liste eine `read`-Zugriffssteuerung konfiguriert ist. Wenn Sie private Felder oder Listen verwenden, sind Sie möglicherweise betroffen. Derzeit liegen keine Patches vor. Es gibt derzeit auch keine Workarounds.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub, Inc.

Reservieren

12.05.2021

Veröffentlichung

25.05.2021

Moderieren

akzeptiert

Eintrag

VDB-175579

CPE

bereit

EPSS

0.00864

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!