CVE-2026-24749

Name of the Vulnerable Software and Affected Versions Silverstripe Assets Module versões anteriores a 2.4.5 Silverstripe Assets Module versões 3.0.0-rc1 até 3.1.2

Description Imagens renderizadas em templates ou acessadas via 'DBFile::getURL()' ou 'DBFile::getSourceURL()' adicionam incorretamente uma concessão de acesso à sessão atual, permitindo a ignorar as permissões de arquivo. Isso geralmente ocorre durante a criação de uma variante de imagem, como ao usar métodos de manipulação como ScaleWidth() ou Convert(). Além disso, se o DBFile for usado na configuração $db para uma classe DataObject que não herda de File e a visibilidade for definida como protected, esses arquivos exigirão uma concessão de acesso explícita para serem acessados.

Recommendations Atualizar para a versão 2.4.5 Atualizar para a versão 3.1.3 Definir a visibilidade do arquivo como public caso não sejam desejadas concessões de acesso explícitas para arquivos que utilizam DBFile em uma classe DataObject que não herda de File.