PT-2022-15034 · Wagtail · Wagtail
Ihor Marhitych
·
Publicado
2022-01-18
·
Atualizado
2022-01-26
·
CVE-2022-21683
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Wagtail anteriores à 2.15.2
Descrição
O problema ocorre quando notificações de novas respostas em threads de comentários são enviadas a todos os usuários que responderam ou comentaram em qualquer lugar do site, em vez de apenas nas threads relevantes. Isso permite que um usuário acompanhe novas respostas a comentários em páginas às quais não tem acesso de edição, desde que tenha deixado um comentário ou resposta em algum lugar do site.
Recomendações
Para versões anteriores à 2.15.2, atualize para o Wagtail 2.15.2 para restaurar o comportamento pretendido de enviar notificações de novas respostas apenas aos participantes do tópico ativo.
Como solução alternativa temporária, considere definir
WAGTAILADMIN COMMENTS ENABLED = False no arquivo de configurações do Django para desativar novos comentários.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wagtail