A flaw was found in Quay. Cross-site request forgery (CSRF) attacks force a user to perform unwanted actions in an application. During the pentest, it was detected that the config-editor page is vulnerable to CSRF. The config-editor page is used to configure the Quay instance. By coercing the victim’s browser into sending an attacker-controlled request from another domain, it is possible to reconfigure the Quay instance (including adding users with admin privileges).
Se encontró una falla en Quay. Los ataques de Cross-site request forgery (CSRF) obligan al usuario a realizar acciones no deseadas en una aplicación. Durante la prueba de penetración, se detectó que la página del editor de configuración es vulnerable a CSRF. La página del editor de configuración se utiliza para configurar la instancia de Quay. Al forzar al navegador de la víctima a enviar una solicitud controlada por el atacante desde otro dominio, es posible reconfigurar la instancia de Quay (incluido agregar usuarios con privilegios de administrador).
