CVE-2023-49783 in Admininfo

Zusammenfassung

von VulDB • 12.07.2026

Silverstripe Admin bietet eine grundlegende Verwaltungsschnittstelle für das Silverstripe Framework. In Versionen der 1.x-Zweigreihe vor 1.13.19 und der 2.x-Zweigreihe vor 2.1.8 können Benutzer, die keine Bearbeiten- oder Löschberechtigungen für in einem `ModelAdmin` exponierte Datensätze haben, dennoch Datensätze bearbeiten oder löschen, indem sie das CSV-Importformular verwenden, sofern sie über Erstellberechtigungen verfügen. Die Wahrscheinlichkeit, dass ein Benutzer über Erstellberechtigungen verfügt, aber nicht über Bearbeitungs- oder Löschberechtigungen, ist gering, jedoch möglich. Beachten Sie, dass dies keinen `ModelAdmin` betrifft, bei dem das Importformular über die öffentliche Eigenschaft `showImportForm` deaktiviert wurde. Die Versionen 1.13.19 und 2.1.8 enthalten einen Patch für dieses Problem. Benutzer mit einer benutzerdefinierten Implementierung von `BulkLoader` sollten ihre Implementierungen aktualisieren, um Berechtigungen zu berücksichtigen, wenn der Rückgabewert von `getCheckPermissions()` true ist. Wer `BulkLoader` in seiner eigenen Projektlogik verwendet oder ein Modul pflegt, das dies tut, sollte erwägen, `true` an `setCheckPermissions()` zu übergeben, wenn die Daten von Benutzern bereitgestellt werden.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub, Inc.

Reservieren

30.11.2023

Veröffentlichung

23.01.2024

Moderieren

akzeptiert

Eintrag

VDB-251849

CPE

bereit

EPSS

0.00341

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!