anonhaven

CVE-2026-24749

MEDIUM CVSS 3.1: 5,3
Обновлено 17 апреля 2026
Параметр Значение
CVSS 5,3 (MEDIUM)
Уязвимые версии до 2.4.5
Тип уязвимости CWE-863 (Неправильная авторизация)
Публичный эксплойт Нет

Модуль Silverstripe Assets является обязательным компонентом Silverstripe Framework. В версиях до 2.4.5 и от 3.0.0-rc1 до 3.1.2 изображения, отображаемые в шаблонах или иным образом доступные через DBFile::getURL() или DBFile::getSourceURL(), неправильно добавляют разрешение на доступ к текущему сеансу, что обходит права доступа к файлам. Обычно это происходит при создании варианта изображения, например, с использованием такого метода манипуляции, как ScaleWidth() или Convert().

Обратите внимание: если разработчики используют DBFile непосредственно в конфигурации $db для класса DataObject, который не является подклассом File, и если они установили для видимости этих файлов значение «защищено», для доступа к этим файлам теперь потребуется явное разрешение доступа. Если разработчики не хотят явно предоставлять доступ к этим файлам в своих приложениях (т. е. они хотят, чтобы эти файлы были доступны по умолчанию), им следует использовать «общедоступную» видимость. Эта проблема исправлена ​​в версиях 2.4.5 и 3.1.3.

Показать оригинальное описание (EN)

The Silverstripe Assets Module is a required component of Silverstripe Framework. In versions prior to 2.4.5 and 3.0.0-rc1 through 3.1.2, images rendered in templates or otherwise accessed via DBFile::getURL() or DBFile::getSourceURL() incorrectly add an access grant to the current session, which bypasses file permissions. This usually happens when creating an image variant, for example using a manipulation method like ScaleWidth() or Convert(). Note that if developers use DBFile directly in the $db configuration for a DataObject class that doesn't subclass File, and if they were setting the visibility of those files to "protected", those files will now need an explicit access grant to be accessed. If developers do not want to explicitly provide access grants for these files in their apps (i.e. they want these files to be accessible by default), they should use the "public" visibility. This issue has been fixed in versions 2.4.5 and 3.1.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Ссылки 2

https://github.com/silverstripe/silverstripe-assets/security/advisories/GHSA-jg…
security-advisories@github.com
https://www.silverstripe.org/download/security-releases/cve-2026-24749
security-advisories@github.com
Share Post Share Share Share