漏洞标题
IDOR使得用户能够阅读由其它事件发送的电子邮件日志。
漏洞描述信息
alf.io 是一个开源的票务预订系统。在版本2.0-Mr-2402之前,攻击者可以访问其他组织的数据。攻击者可以通过特殊构造的请求来接收由其他事件发送的电子邮件日志。版本2.0-M4-2402修复了此问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
漏洞类别
通过日志文件的信息暴露
漏洞标题
IDOR make user can read e-mail log sent by other events
漏洞描述信息
alf.io is an open source ticket reservation system. Prior to version 2.0-Mr-2402, an attacker can access data from other organizers. The attacker can use a specially crafted request to receive the e-mail log sent by other events. Version 2.0-M4-2402 fixes this issue.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
将系统数据暴露到未授权控制的范围
漏洞标题
alf.io 安全漏洞
漏洞描述信息
alf.io是开源票务预订系统。 alf.io 2.0-Mr-2402之前版本存在安全漏洞。攻击者利用该漏洞可以使用特制的请求来接收其他事件发送的电子邮件日志。
CVSS信息
N/A
漏洞类别
其他