Silverstripe · Silverstripe/Admin · CVE-2023-49783
**Nome do software vulnerável e versões afetadas**
Silverstripe Admin versões 1.x anteriores à 1.13.19
Silverstripe Admin versões 2.x anteriores à 2.1.8
**Descrição**
A vulnerabilidade permite que usuários sem permissões de edição ou exclusão para registros expostos em um `ModelAdmin` ainda possam editar ou excluir registros usando o formulário de importação CSV, desde que tenham permissões de criação. A probabilidade de um usuário ter permissões de criação, mas não de edição ou exclusão, é baixa, mas é possível. Isso não afeta nenhum `ModelAdmin` que tenha o formulário de importação desativado por meio da propriedade pública `showImportForm`.
**Recomendações**
Para versões do Silverstripe Admin 1.x anteriores à 1.13.19, atualize para a versão 1.13.19 ou posterior.
Para versões do Silverstripe Admin 2.x anteriores à 2.1.8, atualize para a versão 2.1.8 ou posterior.
Se você tiver uma implementação personalizada de `BulkLoader`, atualize sua implementação para respeitar as permissões quando o valor de retorno de `getCheckPermissions()` for verdadeiro.
Se você estiver usando qualquer `BulkLoader` na lógica do seu próprio projeto ou mantiver um módulo que o utilize, considere passar `true` para `setCheckPermissions()` se os dados forem fornecidos pelos usuários.