← 戻る
CVE-2017-11422
high
CVSS 8.8
Statamic framework before 2.6.0 does not correctly check a session's permissions when the methods from a user's class are called. Problematic methods include reset password, create new account, create...
概要
Statamic framework before 2.6.0 does not correctly check a session's permissions when the methods from a user's class are called. Problematic methods include reset password, create new account, create new role, etc.
AI要約 openai / gpt-4o
Statamicフレームワークの2.6.0未満のバージョンには、セッションの権限を正しくチェックしない脆弱性があります。これにより、reset passwordやcreate new accountなどの方法が不適切に呼び出される可能性があります。
❓ 何が問題か
Statamicフレームワークではセッションの権限チェックが不適切である。
📍 影響範囲
Statamicフレームワークの2.6.0未満のバージョン。
🔥 重要度
セッションの権限チェックが不適切なため、権限のないユーザーが重要な操作を実行可能。
🔧 修正方法
フレームワークをバージョン2.6.0以降にアップデートする。
🛡️ 暫定回避
権限設定を厳密に見直し、不審なセッションを監視する。
🔍 検知方法
セッションの権限設定を監査し、不正な操作がされていないか確認する。
参照URL
- advisory af854a3a-2127-422b-91ae-364da2661108