Модуль Silverstripe Assets является обязательным компонентом Silverstripe Framework. В версиях до 2.4.5 и 3.0.0-rc1-3.1.2 изображения, отоб…
Модуль Silverstripe Assets является обязательным компонентом Silverstripe Framework. В версиях до 2.4.5 и 3.0.0-rc1-3.1.2 изображения, отображаемые в шаблонах или иным образом полученные через DBFile::getURL() или DBFile:getSourceURL() неправильно добавляют грант доступа к текущему сеансу, который обходит разрешения файлов. Обычно это происходит при создании варианта изображения, например, с использованием метода манипуляции, такого как ScaleWidth() или Convert(). Обратите внимание, что если разработчики используют DBFile непосредственно в конфигурации $db для класса DataObject, который не подкласса File, и если они устанавливают видимость этих файлов в «защищенные», эти файлы теперь будут нуждаться в явном гранте доступа. Если разработчики не хотят явно предоставлять гранты доступа для этих файлов в своих приложениях (т.е. они хотят, чтобы эти файлы были доступны по умолчанию), они должны использовать «общую» видимость. Эта проблема была исправлена в версиях 2.4.5 и 3.1.3.
Продукт выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие, однако не осуществляет эту проверку корректно.
https://cwe.mitre.org/data/definitions/863.html →Открыть в коллекции CWE →