Indico is an event management system that uses Flask-Multipass, a multi-backend authentication system for Flask. In versions prior to 3.3.11, the API endpoint used to manage event series is missing an access check, allowing unauthenticated/unauthorized access to this endpoint. The impact of this is limited to getting the metadata (title, category chain, start/end date) for events in an existing series, deleting an existing event series, and modifying an existing event series. This vulnerability does NOT allow unauthorized access to events (beyond the basic metadata mentioned above), nor any kind of tampering with user-visible data in events. Version 3.3.11 fixes the issue. As a workaround, use the webserver to restrict access to the series management API endpoint.
Indico event management system versions prior to 3.3.11 contain an access control vulnerability in the API endpoint for managing event series, allowing unauthenticated users to view event metadata, delete series, and modify series. The vulnerability is limited to series-level operations and does not permit unauthorized access to event data or user-visible information.
تحتوي نقطة نهاية API لإدارة سلسلة الأحداث في Indico على فجوة في التحقق من الوصول، مما يسمح بالوصول غير المصرح به إلى العمليات الحساسة. يمكن للمهاجمين عرض البيانات الوصفية للأحداث وحذف أو تعديل سلسلة الأحداث دون المصادقة المناسبة. لا تؤثر الثغرة على بيانات الأحداث الفعلية أو معلومات المستخدم المرئية.
نظام إدارة الأحداث Indico في الإصدارات السابقة للإصدار 3.3.11 يحتوي على ثغرة في التحكم بالوصول في نقطة نهاية API لإدارة سلسلة الأحداث، مما يسمح للمستخدمين غير المصرح لهم بعرض بيانات الأحداث الوصفية وحذف السلسلة وتعديلها. تقتصر الثغرة على عمليات على مستوى السلسلة ولا تسمح بالوصول غير المصرح به إلى بيانات الأحداث أو المعلومات المرئية للمستخدم.
Upgrade Indico to version 3.3.11 or later immediately. As an interim measure, configure webserver access restrictions to the series management API endpoint (/api/events/series) to allow only authenticated and authorized users. Implement network-level access controls and monitor API logs for unauthorized access attempts.
قم بترقية Indico إلى الإصدار 3.3.11 أو أحدث على الفور. كإجراء مؤقت، قم بتكوين قيود الوصول على خادم الويب لنقطة نهاية API إدارة السلسلة (/api/events/series) للسماح فقط للمستخدمين المصرح لهم والمصادقين. تطبيق عناصر التحكم في الوصول على مستوى الشبكة ومراقبة سجلات API لمحاولات الوصول غير المصرح به.