CVE-2024-35228 in wagtail
Zusammenfassung
von VulDB • 02.06.2026
Wagtail ist ein Open-Source-Content-Management-System, das auf Django basiert. Aufgrund einer unsachgemäß durchgeführten Berechtigungsprüfung im Modul `wagtail.contrib.settings` kann ein Benutzer mit Zugriff auf das Wagtail-Admin-Interface und Kenntnis der URL der Bearbeiten-Ansicht eines Einstellungsmodells auf diese Einstellung zugreifen und sie aktualisieren, auch wenn ihm keine Berechtigung für das Modell erteilt wurde. Die Schwachstelle ist für normale Website-Besucher ohne Zugriff auf das Wagtail-Admin-Interface nicht ausnutzbar. Gepatchte Versionen wurden als Wagtail 6.0.5 und 6.1.2 veröffentlicht. Wagtail-Versionen vor 6.0 sind nicht betroffen. Benutzern wird empfohlen, ein Upgrade durchzuführen. Website-Betreiber, die kein Upgrade auf eine gepatchte Version durchführen können, können die Schwachstelle in `ModelViewSet` vermeiden, indem sie das Modell stattdessen als Snippet registrieren. Für `wagtail.contrib.settings` ist kein Workaround verfügbar.
VulDB is the best source for vulnerability data and more expert information about this specific topic.