Quark Drive before 0.8.5 contains a mass assignment vulnerability in the POST /update endpoint that allows authenticated attackers to overwrite administrator credentials by posting an arbitrary webui object to the config_data dictionary. Attackers can exploit insufficient deny-list filtering to permanently replace stored login credentials, lock out legitimate administrators, and gain persistent access to all configured tasks, cloud tokens, and notification services.
Quark Drive versions before 0.8.5 contain a mass assignment vulnerability in the POST /update endpoint allowing authenticated attackers to overwrite administrator credentials. Attackers can exploit insufficient filtering to gain persistent access to all configured tasks, cloud tokens, and notification services.
تحتوي نقطة نهاية POST /update في Quark Drive على ثغرة إسناد جماعي تسمح للمستخدمين المصرح لهم بتجاوز آليات الحماية وإعادة كتابة بيانات اعتماد المسؤول. يمكن للمهاجمين استخدام هذه الثغرة لقفل المسؤولين الشرعيين والحصول على وصول دائم إلى جميع الخدمات والرموز المكونة. التصفية غير الكافية للمدخلات تجعل هذه الثغرة سهلة الاستغلال للمهاجمين الداخليين أو المهاجمين الذين لديهم وصول مصرح به.
إصدارات Quark Drive السابقة للإصدار 0.8.5 تحتوي على ثغرة إسناد جماعي في نقطة نهاية POST /update تسمح للمهاجمين المصرح لهم بالكتابة فوق بيانات اعتماد المسؤول. يمكن للمهاجمين استغلال التصفية غير الكافية للوصول الدائم إلى جميع المهام المكونة والرموز السحابية وخدمات الإخطار.
Upgrade Quark Drive to version 0.8.5 or later immediately. Implement strict input validation and deny-list filtering on the POST /update endpoint. Review and rotate all administrator credentials. Audit access logs for unauthorized changes to webui configuration objects. Restrict API access to trusted networks and implement rate limiting on authentication endpoints.
قم بترقية Quark Drive إلى الإصدار 0.8.5 أو أحدث فوراً. قم بتطبيق التحقق الصارم من المدخلات وتصفية قائمة الحظر على نقطة نهاية POST /update. راجع وأعد تعيين جميع بيانات اعتماد المسؤول. تدقيق سجلات الوصول للتغييرات غير المصرح بها على كائنات تكوين webui. قيد وصول API إلى الشبكات الموثوقة وطبق تحديد معدل على نقاط نهاية المصادقة.