Katalog CVE

CVE-2026-34751

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Payload to darmowy i otwarty system zarządzania treścią bez interfejsu graficznego. Przed wersją 3.79.1 w @payloadcms/graphql i payload występowała podatność w procesie odzyskiwania hasła, która mogła pozwolić nieautoryzowanemu atakującemu na wykonywanie działań w imieniu użytkownika inicjującego reset hasła.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane działania w imieniu użytkowników, co może prowadzić do utraty danych lub naruszenia prywatności. Atakujący mógłby wykorzystać tę podatność do przejęcia kontroli nad kontami użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 3.79.1 lub nowszej w @payloadcms/graphql i payload, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa, aby ocenić potencjalne skutki tej luki.

Oryginalny opis (angielski, źródło NVD)

Payload is a free and open source headless content management system. Prior to version 3.79.1 in @payloadcms/graphql and payload, a vulnerability in the password recovery flow could allow an unauthenticated attacker to perform actions on behalf of a user who initiates a password reset. This issue has been patched in version 3.79.1 for @payloadcms/graphql and payload.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS