CVE-2023-49783

Silverstripe Admin versões 1.x anteriores à 1.13.19

Silverstripe Admin versões 2.x anteriores à 2.1.8

A vulnerabilidade permite que usuários sem permissões de edição ou exclusão para registros expostos em um ModelAdmin ainda possam editar ou excluir registros usando o formulário de importação CSV, desde que tenham permissões de criação. A probabilidade de um usuário ter permissões de criação, mas não de edição ou exclusão, é baixa, mas é possível. Isso não afeta nenhum ModelAdmin que tenha o formulário de importação desativado por meio da propriedade pública showImportForm.

Para versões do Silverstripe Admin 1.x anteriores à 1.13.19, atualize para a versão 1.13.19 ou posterior.

Para versões do Silverstripe Admin 2.x anteriores à 2.1.8, atualize para a versão 2.1.8 ou posterior.

Se você tiver uma implementação personalizada de BulkLoader, atualize sua implementação para respeitar as permissões quando o valor de retorno de getCheckPermissions() for verdadeiro.

Se você estiver usando qualquer BulkLoader na lógica do seu próprio projeto ou mantiver um módulo que o utilize, considere passar true para setCheckPermissions() se os dados forem fornecidos pelos usuários.