CVE-2023-49783 in Admin정보

요약

\~에 의해 VulDB • 2026. 07. 11.

Silverstripe Admin은 Silverstripe Framework에 대한 기본 관리 인터페이스를 제공합니다. 1.x 브랜치의 1.13.19 이전 버전과 2.x 브랜치의 2.1.8 이전 버전에서, `ModelAdmin`을 통해 노출된 레코드에 대해 편집 또는 삭제 권한이 없는 사용자라도 생성(create) 권한만 있다면 CSV 가져오기 양식을 사용하여 해당 레코드를 여전히 편집하거나 삭제할 수 있습니다. 사용자가 생성 권한은 가지고 있지만 편집 및 삭제 권한은 가지지 않은 경우의 가능성은 낮지만, 불가능하지는 않습니다. `showImportForm` 공개 속성을 통해 가져오기 양식이 비활성화된 모든 `ModelAdmin`에는 이 취약점이 영향을 미치지 않음을 유의하십시오. 버전 1.13.19와 2.1.8에는 해당 문제에 대한 패치가 포함되어 있습니다. `BulkLoader`의 사용자 지정 구현을 사용하는 경우, `getCheckPermissions()`의 반환 값이 true일 때 권한을 준수하도록 구현을 업데이트해야 합니다. 자체 프로젝트 로직에서 어떤 `BulkLoader`든 사용하거나 이를 사용하는 모듈을 유지 관리하는 경우, 데이터가 사용자로부터 제공되는 경우 `setCheckPermissions()`에 `true`를 전달하는 것을 고려하십시오.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

출처

Want to know what is going to be exploited?

We predict KEV entries!