Anyone can run tasks by simply posting to /scheduletask/runtask in Nop4.3

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed.

Tổng Bài đăng: 3
Karma: 33
Đã tham gia: 11/06/2020
Vị trí: Bulgaria

Đã đăng: 3 năm cách đây

I discovered, that anyone can run a task on a site running NopCommerce 4.3, if he knows the name of the task.
While some tasks may appear to be harmless, other can be very long-running. The attacker can run tasks at a very high speed and make the site very busy and unresponsive.

The problem is in ScheduleTaskController:
[HttpPost]
[IgnoreAntiforgeryToken]
public virtual IActionResult RunTask(string taskType)
{
...
}

larsonnm

Officially trained

Tổng Bài đăng: 22
Karma: 130
Đã tham gia: 06/07/2010
Vị trí: United States

Đã đăng: 2 năm cách đây

Did you find a resolution to this?

a.m.

Thành viên của đội

Tổng Bài đăng: 16618
Karma: 155935
Đã tham gia: 22/10/2008
Vị trí: Armenia

Đã đăng: 2 năm cách đây

That's not true because we make appropriate validation. Please check here.

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed.

Vẫn còn thắc mắc hay cần giúp đỡ?

. Dịch vụ hỗ trợ cao cấp . Nhận hỗ trợ chuyên dụng từ nhóm nopCommerce với phản hồi được đảm bảo trong vòng 24 giờ.

. Khóa học trực tuyến dành cho lập trình viên . Học hỏi những kỹ năng thực tế và kỹ năng lập trình thiết yếu để điều hành và tùy chỉnh các trang web nopCommerce.