CVE-2021-32624 in Keystone 5
Riassunto
di VulDB • 17/06/2026
Keystone 5 è una piattaforma CMS open source per la creazione di applicazioni Node.js. Questo avviso di sicurezza riguarda una nuova funzionalità scoperta nella nostra infrastruttura di query che consente di esporre direttamente o indirettamente i valori dei campi privati, aggirando il controllo degli accessi configurato. Si tratta di un attacco oracle legato al controllo degli accessi in cui il metodo di attacco guida l'attaccante durante il tentativo di rivelare informazioni a cui non ha accesso. La complessità per completare l'attacco è limitata da alcuni comportamenti dipendenti dalla lunghezza e dall'affidabilità delle informazioni esposte. In alcune circostanze, i valori dei campi o i metadati relativi ai valori dei campi possono essere determinati, nonostante che il campo o la lista abbiano configurato un controllo degli accessi di `read`. Se si utilizzano campi privati o liste, si potrebbe essere interessati. Al momento non esistono patch disponibili. Non ci sono soluzioni alternative (workaround) al momento.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.