Katalog CVE

CVE-2026-50279

WysokieCVSS 7.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

W Craft CMS w wersjach od 5.0.0-RC1 do 5.9.20 występuje podatność polegająca na ominięciu kontroli uprawnień przy zapisywaniu wpisów. Niskouprzywilejowany użytkownik może zmienić autora wpisu na innego użytkownika bez wymaganych uprawnień, co prowadzi do fałszowania autorstwa.

Ocena ryzyka

Ryzyko polega na możliwości przypisania autorstwa wpisu do innej osoby przez nieuprawnionego użytkownika, co może naruszyć integralność treści i zaufanie do systemu zarządzania treścią.

Rekomendacja

Należy niezwłocznie zaktualizować Craft CMS do wersji 5.9.21 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Craft CMS is a content management system (CMS). IN versions 5.0.0-RC1 and above prior to 5.9.21, theEntriesController::actionSaveEntry() performs entry-edit permission checks before request-controlled author changes are applied to the model, allowing for authorship spoofing. The subsequent author mutation path accepts attacker-supplied authors / author parameters and allows the change when the current user is one of the old authors. Because the controller does not re-run authorization after mutating the author list, a low-privileged user can reassign an entry’s authorship to another user without holding the dedicated peer-author-change permission. This issue has been fixed in version 5.9.21.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS