概要
TaskosaurはAI会話機能を持つオープンソースのプロジェクト管理プラットフォームです。バージョン1.0.0でユーザー登録時のroleパラメータが適切に検証されておらず、攻撃者がリクエストペイロードを改変してSUPER_ADMIN権限のアカウントを作成できます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 (Critical) |
| CWE | CWE-284(不適切なアクセス制御)、CWE-639(IDOR) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- Taskosaur 1.0.0
修正バージョンと回避策
修正コミットが提供されています。最新版へのアップデートを推奨します。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。