GHSA-xpff-c35g-j3cr

Опубликовано: 27 мая 2024

Источник: github

Github: Прошло ревью

CVSS3: 6.5

Описание

silverstripe/framework Privilege Escalation Risk in Member Edit form

A member with the permission EDIT_PERMISSIONS and access to the "Security" section is able to re-assign themselves (or another member) to ADMIN level.

CMS Fields for the member are constructed using DirectGroups instead of Groups relation which results in bypassing security logic preventing privilege escalation.

Ссылки

Пакеты

Наименование

silverstripe/framework

composer

Затронутые версииВерсия исправления

>= 3.5.7-rc1, < 3.5.8

3.5.8

Наименование

silverstripe/framework

composer

Затронутые версииВерсия исправления

>= 3.6.0-rc1, < 3.6.6

3.6.6

Наименование

silverstripe/framework

composer

Затронутые версииВерсия исправления

>= 4.0.0-rc1, < 4.0.4

4.0.4

Наименование

silverstripe/framework

composer

Затронутые версииВерсия исправления

>= 4.1.0-rc1, < 4.1.1

4.1.1

6.5 Medium

CVSS3

Дефекты

CWE-268

6.5 Medium

CVSS3

Дефекты

CWE-268