CVE-2023-49783 in Admin
요약
\~에 의해 VulDB • 2026. 07. 11.
Silverstripe Admin은 Silverstripe Framework에 대한 기본 관리 인터페이스를 제공합니다. 1.x 브랜치의 1.13.19 이전 버전과 2.x 브랜치의 2.1.8 이전 버전에서, `ModelAdmin`을 통해 노출된 레코드에 대해 편집 또는 삭제 권한이 없는 사용자라도 생성(create) 권한만 있다면 CSV 가져오기 양식을 사용하여 해당 레코드를 여전히 편집하거나 삭제할 수 있습니다. 사용자가 생성 권한은 가지고 있지만 편집 및 삭제 권한은 가지지 않은 경우의 가능성은 낮지만, 불가능하지는 않습니다. `showImportForm` 공개 속성을 통해 가져오기 양식이 비활성화된 모든 `ModelAdmin`에는 이 취약점이 영향을 미치지 않음을 유의하십시오. 버전 1.13.19와 2.1.8에는 해당 문제에 대한 패치가 포함되어 있습니다. `BulkLoader`의 사용자 지정 구현을 사용하는 경우, `getCheckPermissions()`의 반환 값이 true일 때 권한을 준수하도록 구현을 업데이트해야 합니다. 자체 프로젝트 로직에서 어떤 `BulkLoader`든 사용하거나 이를 사용하는 모듈을 유지 관리하는 경우, 데이터가 사용자로부터 제공되는 경우 `setCheckPermissions()`에 `true`를 전달하는 것을 고려하십시오.
If you want to get best quality of vulnerability data, you may have to visit VulDB.