CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-39397

Critical
Published: Translated: NVD NIST

Summary

Wtyczka PayloadCMS @delmaredigital/payload-puck przed wersją 0.6.23 miała lukę, która pozwalała na ominięcie kontroli dostępu na poziomie kolekcji dla wszystkich punktów końcowych CRUD w /api/puck/*. Opcja dostępu przekazywana do createPuckPlugin() oraz zasady dostępu zdefiniowane dla kolekcji zarejestrowanych w Puck były ignorowane.

Risk Assessment

Organizacje mogły być narażone na nieautoryzowany dostęp do danych, co mogło prowadzić do wycieku informacji lub nieautoryzowanych modyfikacji danych.

Recommendation

Zaleca się aktualizację wtyczki do wersji 0.6.23 lub nowszej, aby zabezpieczyć się przed tą podatnością oraz zapewnić odpowiednią kontrolę dostępu.

Original NVD description (English source)

@delmaredigital/payload-puck is a PayloadCMS plugin for integrating Puck visual page builder. Prior to 0.6.23, all /api/puck/* CRUD endpoint handlers registered by createPuckPlugin() called Payload's local API with the default overrideAccess: true, bypassing all collection-level access control. The access option passed to createPuckPlugin() and any access rules defined on Puck-registered collections were silently ignored on these endpoints. This vulnerability is fixed in 0.6.23.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS