PT-2022-26676 · Silverstripe · Silverstripe/Subsites
Bauke Zwaan
·
Publicado
2022-12-19
·
Atualizado
2023-01-03
·
CVE-2022-42949
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Silverstripe silverstripe/subsites até a versão 2.6.0
Descrição
O módulo subsites pode enfraquecer as restrições de edição em alguns arquivos, permitindo que um usuário mal-intencionado edite arquivos para os quais não possui direitos de edição. Este problema afeta apenas projetos com o módulo subsites instalado. É importante observar que a separação de conteúdo obtida com o módulo subsites deve ser vista como cosmética e não apropriada para aplicações críticas em termos de segurança.
Recomendações
Para versões até a 2.6.0, considere desativar o módulo subsites até que um patch esteja disponível para impedir que usuários mal-intencionados editem arquivos para os quais não têm direitos de edição.
Restrinja o acesso à lógica de arquivos personalizados para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Silverstripe/Subsites