PT-2024-23108 · Silverstripe · Silverstripe/Reports
Fiona Black
+1
·
Publicado
2024-07-17
·
Atualizado
2024-07-18
·
CVE-2024-29885
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
silverstripe/reports versões anteriores à 5.2.3
Descrição
A vulnerabilidade permite que qualquer usuário com acesso à seção de administração de relatórios acesse os relatórios por meio de sua URL direta, mesmo que o método
canView() desse relatório retorne false.Recomendações
Para versões anteriores à 5.2.3, atualize para a versão 5.2.3 para resolver o problema. Como solução temporária, considere restringir o acesso à seção de administração de relatórios para minimizar o risco de exploração.
Exploit
Correção
Incorrect Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Silverstripe/Reports