从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Missing authorization for endpoints related to webhook deliveries - 发布者:SpecLad - 漏洞编号:GHSA-p3c9-m7jr-jxxj - 发布时间:6小时之前 2. 受影响的版本: - 受影响的版本范围:2.3.0-2.17.0 - 已修复的版本:2.18.0 3. 漏洞严重性: - 严重性等级:Moderate(中等) - CVSS v3 base metrics: - Attack vector:Network(网络) - Attack complexity:Low(低) - Privileges required:Low(低) - User interaction:None(无需用户交互) - Scope:Changed(更改) - Confidentiality:Low(低) - Integrity:Low(低) - Availability:None(无) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N 4. 漏洞影响: - 攻击者可以访问任何注册在CVAT实例上的webhook的交付信息,包括其他用户的交付信息。 - 攻击者可以重新发送任何webhook的交付,触发任何webhook的ping事件。 5. 修复措施: - 建议升级到CVAT 2.18.0或更高版本。 6. 工作绕过: - 无工作绕过措施(N/A) 7. 参考链接: - 修复提交:0fafb79 这些信息可以帮助理解漏洞的性质、影响范围以及如何修复或绕过漏洞。