CVE-2026-10715
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Camaleon CMS w wersji 2.9.2 zawiera lukę w autoryzacji w punkcie końcowym autosave szkiców administratora. Użytkownik z niskimi uprawnieniami może wysłać dowolny post_id do POST /admin/post_type/<POST_TYPE_ID>/drafts i nadpisać szkic związany z postem innego użytkownika.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego nadpisania treści postów innych użytkowników, co może wpłynąć na integralność danych w systemie.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Camaleon CMS oraz wdrożenie dodatkowych mechanizmów autoryzacji dla punktów końcowych związanych z zarządzaniem szkicami.
Oryginalny opis (angielski, źródło NVD)
Camaleon CMS 2.9.2 contains an improper authorization vulnerability in the administrator draft autosave endpoint. A low-privileged authenticated user can send an arbitrary post_id to POST /admin/post_type/<POST_TYPE_ID>/drafts and overwrite the draft associated with another user's post.

