即使在 silverstripe/reports 中“canView()”返回 false,报告仍然可以访问(CVE-2024-29885)
CVE编号
CVE-2024-29885利用情况
暂无补丁情况
N/A披露时间
2024-07-18漏洞描述
Silverstripe框架中的silverstripe/reports是一个创建后端报告的API。在某些受影响版本中,任何能够访问报告管理页面的用户都可以通过直接URL访问报告,即使该报告的`canView()`方法返回`false`。这个问题已在版本5.2.3中得到解决。建议所有用户进行升级。对于此漏洞,没有已知的解决方案。解决建议
"将组件 silverstripe/reports 升级至 5.2.3 及以上版本"- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论