Sulu — это система управления контентом PHP с открытым исходным кодом, основанная на платформе Symfony. В версиях от 1.0.0 до 2.6.22 и от 3.0.0 до 3.0.5 пользователь, имеющий разрешение администратора Sulu хотя бы через одну роль, может иметь доступ к подобъектам контактов через API администратора, даже не имея разрешения на контакты. Эта проблема исправлена в версиях 2.6.22 и 3.0.5.
Показать оригинальное описание (EN)
Sulu is an open-source PHP content management system based on the Symfony framework. From versions 1.0.0 to before 2.6.22, and 3.0.0 to before 3.0.5, a user which has permission for the Sulu Admin via at least one role could have access to the sub-entities of contacts via the admin API without even have permission for contacts. This issue has been patched in versions 2.6.22 and 3.0.5.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Sulu Sulu
cpe:2.3:a:sulu:sulu:*:*:*:*:*:*:*:*
|
1.0.0
|
2.6.22
|
|
Sulu Sulu
cpe:2.3:a:sulu:sulu:*:*:*:*:*:*:*:*
|
3.0.0
|
3.0.5
|