Statamic — это система управления контентом (CMS) на базе Laravel и Git. До версий 5.73.14 и 6.7.0 прошедшие проверку подлинности пользователи панели управления могли читать произвольные файлы `.json`, `.yaml` и `.csv` с сервера, манипулируя параметром конфигурации filename словаря файлов в конечной точке типа поля. Это исправлено в версиях 5.73.14 и 6.7.0.
Показать оригинальное описание (EN)
Statamic is a Laravel and Git powered content management system (CMS). Prior to versions 5.73.14 and 6.7.0, authenticated Control Panel users could read arbitrary `.json`, `.yaml`, and `.csv` files from the server by manipulating the file dictionary's `filename` configuration parameter in the fieldtype's endpoint. This has been fixed in 5.73.14 and 6.7.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Statamic Statamic
cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:*
|
— |
5.73.14
|
|
Statamic Statamic
cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:*
|
6.0.0
|
6.7.0
|