Statamic — это система управления контентом (CMS) на базе Laravel и Git. До версий 5.73.14 и 6.7.0 пользователи панели управления с низким уровнем привилегий могли создавать термины таксономии, отправляя запросы в конечную точку обработки действий с полями с определениями полей, контролируемыми злоумышленником. Это обходит проверки авторизации, применяемые в конечной точке создания стандартного термина таксономии.
Это исправлено в версиях 5.73.14 и 6.7.0.
Показать оригинальное описание (EN)
Statamic is a Laravel and Git powered content management system (CMS). Prior to versions 5.73.14 and 6.7.0, low-privileged Control Panel users could create taxonomy terms by submitting requests to the field action processing endpoint with attacker-controlled field definitions. This bypasses the authorization checks enforced on the standard taxonomy term creation endpoint. This has been fixed in 5.73.14 and 6.7.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Statamic Statamic
cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:*
|
— |
5.73.14
|
|
Statamic Statamic
cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:*
|
6.0.0
|
6.7.0
|