CVE-2023-49783 in Admin
Zusammenfassung
von VulDB • 12.07.2026
Silverstripe Admin bietet eine grundlegende Verwaltungsschnittstelle für das Silverstripe Framework. In Versionen der 1.x-Zweigreihe vor 1.13.19 und der 2.x-Zweigreihe vor 2.1.8 können Benutzer, die keine Bearbeiten- oder Löschberechtigungen für in einem `ModelAdmin` exponierte Datensätze haben, dennoch Datensätze bearbeiten oder löschen, indem sie das CSV-Importformular verwenden, sofern sie über Erstellberechtigungen verfügen. Die Wahrscheinlichkeit, dass ein Benutzer über Erstellberechtigungen verfügt, aber nicht über Bearbeitungs- oder Löschberechtigungen, ist gering, jedoch möglich. Beachten Sie, dass dies keinen `ModelAdmin` betrifft, bei dem das Importformular über die öffentliche Eigenschaft `showImportForm` deaktiviert wurde. Die Versionen 1.13.19 und 2.1.8 enthalten einen Patch für dieses Problem. Benutzer mit einer benutzerdefinierten Implementierung von `BulkLoader` sollten ihre Implementierungen aktualisieren, um Berechtigungen zu berücksichtigen, wenn der Rückgabewert von `getCheckPermissions()` true ist. Wer `BulkLoader` in seiner eigenen Projektlogik verwendet oder ein Modul pflegt, das dies tut, sollte erwägen, `true` an `setCheckPermissions()` zu übergeben, wenn die Daten von Benutzern bereitgestellt werden.
If you want to get best quality of vulnerability data, you may have to visit VulDB.