CVE-2021-25965

Calibre-web, versões 0.6.0 a 0.6.13

A vulnerabilidade permite que um invasor crie uma nova função de usuário com privilégios de administrador e credenciais controladas por ele, induzindo um usuário autenticado a clicar em um link, o que pode resultar no controle da aplicação. Isso é feito por meio de uma falsificação de solicitação entre sites (CSRF).

Para as versões 0.6.0 a 0.6.13 do Calibre-web, como solução temporária, considere restringir o acesso à funcionalidade de criação de funções de usuário até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.