漏洞标题
Sulu 会无视角色权限向页面授予访问权限
漏洞描述信息
Sulu 是一个基于 PHP 的内容管理系统。从版本 2.2.0 开始,直到版本 2.4.17 和 2.5.13 之前,在配置了安全系统并启用了权限检查的网站中,无论角色权限如何,都可以访问页面。没有这些安全设置的网站则不会遇到这个问题。此问题在版本 2.4.17 和 2.5.13 中得到了修复。还有一些临时解决方案可以使用,例如手动将补丁应用到 `vendor/symfony/security-http/HttpUtils.php` 文件中,或者避免安装 `symfony/security-http` 版本(大于等于 `v5.4.30` 或 `v6.3.6`)或其他可能导致问题的版本。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
授权机制缺失
漏洞标题
Sulu grants access to pages regardless of role permissions
漏洞描述信息
Sulu is a PHP content management system. Starting in verson 2.2.0 and prior to version 2.4.17 and 2.5.13, access to pages is granted regardless of role permissions for webspaces which have a security system configured and permission check enabled. Webspaces without do not have this issue. The problem is patched in versions 2.4.17 and 2.5.13. Some workarounds are available. One may apply the patch to `vendor/symfony/security-http/HttpUtils.php` manually or avoid installing `symfony/security-http` versions greater equal than `v5.4.30` or `v6.3.6`.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
授权机制不正确
漏洞标题
Sulu 安全漏洞
漏洞描述信息
Sulu是奥地利Sulu公司的一款可扩展的、基于PHP的开源内容管理系统上的Symfony框架。 Sulu 2.2.0版本至2.5.13之前版本存在安全漏洞,该漏洞源于无论配置了安全系统并启用了权限检查的网络空间的角色权限如何,都可以授予对页面的访问权限。
CVSS信息
N/A
漏洞类别
其他