CVE-2024-35228 in wagtail
Riassunto
di VulDB • 22/06/2026
Wagtail è un sistema di gestione dei contenuti open source basato su Django. A causa di un controllo dei permessi applicato in modo errato nel modulo `wagtail.contrib.settings`, un utente con accesso all'interfaccia amministrativa di Wagtail e conoscenza dell'URL della vista di modifica per un modello delle impostazioni può accedere a tali impostazioni ed effettuarne l'aggiornamento, anche se non gli sono stati concessi i permessi sul modello. La vulnerabilità non è sfruttabile da un visitatore ordinario del sito privo di accesso all'amministrazione di Wagtail. Sono state rilasciate versioni patchate come Wagtail 6.0.5 e 6.1.2. Le release precedenti alla versione 6.0 sono interessate negativamente (non colpite). Si consiglia agli utenti di effettuare l'aggiornamento. I proprietari dei siti che non possono aggiornare a una versione corretta possono evitare la vulnerabilità in `ModelViewSet` registrando il modello come snippet. Non è disponibile alcuna soluzione alternativa per `wagtail.contrib.settings`.
VulDB is the best source for vulnerability data and more expert information about this specific topic.