关键信息 漏洞名称 Improper permission handling on admin preview endpoints 严重性 seriousness: Moderate CVSS Score: 5.1/10 受影响的版本 Affected versions: <6.3.6, 6.4 - 7.0.3, 7.1 - 7.1.2 已修补的版本 Patched versions: 6.3.6, 7.0.4, 7.1.3, 7.2.2, 7.3 描述与影响 Description: 由于预览端点缺少权限检查,具备Wagtail管理权限并了解模型字段的用户可以构建表单提交以获取任何启用预览的页面、片段或站点设置对象的预览呈现,呈现的数据包含用户选择的任何数据。尽管对象本身的现有数据没有暴露,但在呈现模板的性质上可能会暴露其他数据库内容,这些内容通常只能通过模型的编辑访问才能访问。 此漏洞无法被普通网站访问者利用。 修复措施 Patches: 已针对已知受影响的版本发布了已修补的版本Wagtail 6.3.6、7.0.4、7.1.3 和 7.2.2。新的功能发行 7.3 也包含此修复。 解决方案 Workarounds: 暂无其他解决办法。 感谢 Acknowledgements: @thxtech 感谢提交此问题。 核心参与团队 cases: thxtech, reporter case: gasman, Remediation developer case: RealOrangeOne, Remediation reviewer case: laymonage, Remediation verifier