CVE-2026-49858
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W API Platform Core w wersjach od 2.6.0 do 4.1.29, 4.2.26 i 4.3.12 brak bramki isCacheKeySafe w normalizatorach JSON:API i HAL powoduje wyciek atrybutów między użytkownikami. Mechanizm cache'owania komponentów (atrybuty, relacje, linki) oparty na kluczu kontekstu może być ponownie użyty dla żądania innego użytkownika z różnymi uprawnieniami, co prowadzi do ujawnienia właściwości, które powinny być ukryte.
Ocena ryzyka
Organizacja narażona jest na wyciek wrażliwych danych atrybutów API między użytkownikami o różnych poziomach uprawnień. Użytkownik z niższymi uprawnieniami może zobaczyć strukturę właściwości, które powinny być dla niego ukryte na podstawie reguł bezpieczeństwa.
Rekomendacja
Należy niezwłocznie zaktualizować API Platform Core do wersji 4.1.29, 4.2.26 lub 4.3.12 w zależności od używanej gałęzi. Po aktualizacji należy zweryfikować poprawność działania reguł bezpieczeństwa dla atrybutów API.
Oryginalny opis (angielski, źródło NVD)
API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. In versions from 2.6.0 prior to 4.1.29, 4.2.26, and 4.3.12, a missing isCacheKeySafe gate in the JSON:API and HAL item normalizers causes a cross-user attribute leak. #[ApiProperty(security: ...)] is evaluated per request to decide whether a property is exposed. The componentsCache arrays in ApiPlatform\JsonApi\Serializer\ItemNormalizer and ApiPlatform\Hal\Serializer\ItemNormalizer are keyed on $context['cache_key'], which is set unconditionally before delegating to the parent normalizer. The component structure (attributes, relationships, links) computed for one request can therefore be reused for a subsequent request whose user has a different set of accessible properties. A user with lower privileges may end up seeing the structure of properties that the security predicate would otherwise have hidden for them. This issue has been fixed in versions 4.1.29, 4.2.26, and 4.3.12.

