PT-2024-26392 · Wagtail · Wagtail
Engineervix
·
Publicado
2024-05-30
·
Atualizado
2024-06-02
·
CVE-2024-35228
CVSS v3.1
5.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Wagtail anteriores à 6.0.5 e anteriores à 6.1.2
Descrição
Devido a uma verificação de permissão aplicada incorretamente no módulo
wagtail.contrib.settings, um usuário com acesso ao painel de administração do Wagtail e conhecimento da URL da visualização de edição de um modelo de configurações pode acessar e atualizar essa configuração, mesmo que não tenha permissão sobre o modelo. A vulnerabilidade não pode ser explorada por um visitante comum do site sem acesso ao painel de administração do Wagtail.Recomendações
Para versões do Wagtail anteriores à 6.0.5, atualize para a versão 6.0.5 ou posterior.
Para versões do Wagtail anteriores à 6.1.2, atualize para a versão 6.1.2 ou posterior.
Como solução alternativa temporária para
ModelViewSet, considere registrar o modelo como um snippet.Observe que não há solução alternativa disponível para
wagtail.contrib.settings.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wagtail