Eduard Briem

**Nome do software vulnerável e versões afetadas** Silverstripe CMS, versões 4.0.0 a 4.3.6 Silverstripe CMS, versões 5.0.0 a 5.1.2 **Descrição** O servidor GraphQL do Silverstripe CMS fornece dados do Silverstripe como representações GraphQL. Nas versões afetadas, as verificações de permissão `canView` são ignoradas para dados ORM em resultados de consultas GraphQL paginadas, nos quais o número total de registros é maior do que o número de registros por página. Isso também afeta consultas GraphQL com um limite aplicado, mesmo que a consulta não seja paginada propriamente dita. O problema foi corrigido garantindo que nenhum novo registro seja extraído do banco de dados após a realização das verificações de permissão `canView` para cada página de resultados. Esse comportamento é consistente com o funcionamento da paginação em outras áreas do Silverstripe CMS, como no `GridField`, e é resultado da necessidade de realizar verificações de permissão em PHP, em vez de diretamente no banco de dados. **Recomendações** Para as versões 4.0.0 a 4.3.6 do Silverstripe CMS, atualize para a versão 4.3.7 para resolver o problema. Para as versões 5.0.0 a 5.1.2 do Silverstripe CMS, atualize para a versão 5.1.3 para resolver o problema. Como solução temporária, considere desativar o plugin `CanViewPermission` até que um patch esteja disponível.