Katalog CVE

CVE-2026-39397

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka PayloadCMS @delmaredigital/payload-puck przed wersją 0.6.23 miała lukę, która pozwalała na ominięcie kontroli dostępu na poziomie kolekcji dla wszystkich punktów końcowych CRUD w /api/puck/*. Opcja dostępu przekazywana do createPuckPlugin() oraz zasady dostępu zdefiniowane dla kolekcji zarejestrowanych w Puck były ignorowane.

Ocena ryzyka

Organizacje mogły być narażone na nieautoryzowany dostęp do danych, co mogło prowadzić do wycieku informacji lub nieautoryzowanych modyfikacji danych.

Rekomendacja

Zaleca się aktualizację wtyczki do wersji 0.6.23 lub nowszej, aby zabezpieczyć się przed tą podatnością oraz zapewnić odpowiednią kontrolę dostępu.

Oryginalny opis (angielski, źródło NVD)

@delmaredigital/payload-puck is a PayloadCMS plugin for integrating Puck visual page builder. Prior to 0.6.23, all /api/puck/* CRUD endpoint handlers registered by createPuckPlugin() called Payload's local API with the default overrideAccess: true, bypassing all collection-level access control. The access option passed to createPuckPlugin() and any access rules defined on Puck-registered collections were silently ignored on these endpoints. This vulnerability is fixed in 0.6.23.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS