CVE-2024-32882

Versões do Wagtail anteriores à 6.0.3 e à 6.1

Nas versões afetadas, se um modelo tiver sido disponibilizado para edição por meio do módulo wagtail.contrib.settings ou ModelViewSet, e o argumento permission no FieldPanel tiver sido usado para restringir ainda mais o acesso a um ou mais campos do modelo, um usuário com permissão de edição sobre o modelo, mas não sobre o campo específico, pode criar uma solicitação HTTP POST que contorna a verificação de permissão no campo individual, permitindo que ele atualize seu valor. Esta vulnerabilidade não pode ser explorada por um visitante comum do site sem acesso ao painel de administração do Wagtail, nem por um usuário que não tenha recebido permissão de edição para o modelo em questão. As interfaces de edição para páginas e snippets também não são afetadas.

Para versões anteriores à 6.0.3 e 6.1, atualize para uma versão corrigida.

Como solução alternativa temporária, para modelos registrados por meio de ModelViewSet, registre o modelo como um snippet.

Para modelos de configurações, coloque os campos restritos em um modelo de configurações separado e configure a permissão no nível do modelo.