CVE-2026-34751
KrytyczneStreszczenie
Payload to darmowy i otwarty system zarządzania treścią bez interfejsu graficznego. Przed wersją 3.79.1 w @payloadcms/graphql i payload występowała podatność w procesie odzyskiwania hasła, która mogła pozwolić nieautoryzowanemu atakującemu na wykonywanie działań w imieniu użytkownika inicjującego reset hasła.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane działania w imieniu użytkowników, co może prowadzić do utraty danych lub naruszenia prywatności. Atakujący mógłby wykorzystać tę podatność do przejęcia kontroli nad kontami użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 3.79.1 lub nowszej w @payloadcms/graphql i payload, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa, aby ocenić potencjalne skutki tej luki.
Oryginalny opis (angielski, źródło NVD)
Payload is a free and open source headless content management system. Prior to version 3.79.1 in @payloadcms/graphql and payload, a vulnerability in the password recovery flow could allow an unauthenticated attacker to perform actions on behalf of a user who initiates a password reset. This issue has been patched in version 3.79.1 for @payloadcms/graphql and payload.

