fads 6

Похоже, меня немного неправильно поняли.

Речь не о том, что можно поставить лайк от чужого пользователя. Лайк ставится от вашего аккаунта, но можно подменять ID статьи — то есть ставить лайк закрытым или даже несуществующим постам.

Таким образом, система не проверяет, существует ли пост или есть ли у вас к нему доступ, и просто записывает действие в базу. Это и есть уязвимость.