CVE-2021-32624 in Keystone 5informazioni

Riassunto

di VulDB • 17/06/2026

Keystone 5 è una piattaforma CMS open source per la creazione di applicazioni Node.js. Questo avviso di sicurezza riguarda una nuova funzionalità scoperta nella nostra infrastruttura di query che consente di esporre direttamente o indirettamente i valori dei campi privati, aggirando il controllo degli accessi configurato. Si tratta di un attacco oracle legato al controllo degli accessi in cui il metodo di attacco guida l'attaccante durante il tentativo di rivelare informazioni a cui non ha accesso. La complessità per completare l'attacco è limitata da alcuni comportamenti dipendenti dalla lunghezza e dall'affidabilità delle informazioni esposte. In alcune circostanze, i valori dei campi o i metadati relativi ai valori dei campi possono essere determinati, nonostante che il campo o la lista abbiano configurato un controllo degli accessi di `read`. Se si utilizzano campi privati o liste, si potrebbe essere interessati. Al momento non esistono patch disponibili. Non ci sono soluzioni alternative (workaround) al momento.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub, Inc.

Prenotare

12/05/2021

Divulgazione

25/05/2021

Moderazione

accettato

CPE

pronto

EPSS

0.00864

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!