← Back
CVE-2017-11422
high
CVSS 8.8
Statamic framework before 2.6.0 does not correctly check a session's permissions when the methods from a user's class are called. Problematic methods include reset password, create new account, create...
Summary
Statamic framework before 2.6.0 does not correctly check a session's permissions when the methods from a user's class are called. Problematic methods include reset password, create new account, create new role, etc.
AI summary openai / gpt-4o
Statamicフレームワークの2.6.0未満のバージョンには、セッションの権限を正しくチェックしない脆弱性があります。これにより、reset passwordやcreate new accountなどの方法が不適切に呼び出される可能性があります。
❓ What is the problem
Statamicフレームワークではセッションの権限チェックが不適切である。
📍 Affected scope
Statamicフレームワークの2.6.0未満のバージョン。
🔥 Severity
セッションの権限チェックが不適切なため、権限のないユーザーが重要な操作を実行可能。
🔧 How to fix
フレームワークをバージョン2.6.0以降にアップデートする。
🛡️ Workaround
権限設定を厳密に見直し、不審なセッションを監視する。
🔍 Detection
セッションの権限設定を監査し、不正な操作がされていないか確認する。
References
- advisory af854a3a-2127-422b-91ae-364da2661108