CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34751

Critical
Published: Translated: NVD NIST

Summary

Payload to darmowy i otwarty system zarządzania treścią bez interfejsu graficznego. Przed wersją 3.79.1 w @payloadcms/graphql i payload występowała podatność w procesie odzyskiwania hasła, która mogła pozwolić nieautoryzowanemu atakującemu na wykonywanie działań w imieniu użytkownika inicjującego reset hasła.

Risk Assessment

Organizacja może być narażona na nieautoryzowane działania w imieniu użytkowników, co może prowadzić do utraty danych lub naruszenia prywatności. Atakujący mógłby wykorzystać tę podatność do przejęcia kontroli nad kontami użytkowników.

Recommendation

Zaleca się aktualizację do wersji 3.79.1 lub nowszej w @payloadcms/graphql i payload, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa, aby ocenić potencjalne skutki tej luki.

Original NVD description (English source)

Payload is a free and open source headless content management system. Prior to version 3.79.1 in @payloadcms/graphql and payload, a vulnerability in the password recovery flow could allow an unauthenticated attacker to perform actions on behalf of a user who initiates a password reset. This issue has been patched in version 3.79.1 for @payloadcms/graphql and payload.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS