CVE-2026-50280
ŚrednieCVSS 6.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
W Craft CMS w wersjach od 5.0.0-RC1 do 5.9.20 stwierdzono podatność polegającą na nieprawidłowej autoryzacji w endpointzie EntriesController::actionMoveToSection(). Uwierzytelniony użytkownik z niskimi uprawnieniami może przenieść wpis do sekcji, do której ma tylko dostęp do odczytu, bez wymaganych uprawnień zapisu, co narusza model autoryzacji na poziomie sekcji.
Ocena ryzyka
Organizacja narażona jest na naruszenie granic redakcyjnych i obchodzenie przepływów zatwierdzania, co może prowadzić do nieautoryzowanego wstrzykiwania treści do chronionych sekcji oraz zakłócenia logiki biznesowej specyficznej dla sekcji.
Rekomendacja
Należy niezwłocznie zaktualizować Craft CMS do wersji 5.9.21 lub nowszej, która zawiera poprawkę usuwającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Craft CMS is a content management system (CMS). In versions 5.0.0-RC1 and above prior to 5.9.21, the EntriesController::actionMoveToSection() endpoint gates the destination section only by viewEntries:$section->uid rather than requiring saveEntries permission (the source entry is separately checked via Entry::canMove()). As a result, a low-privileged authenticated control-panel user who can move an entry out of its current section can call moveEntryToSection() to rewrite the entry's sectionId and save it into a section where they have read access but no write access. This breaks the section-level authorization model, letting a user with limited permissions inject content into a protected section and interfere with editorial boundaries, approval workflows, and section-specific business logic. This issue has been fixed in version 5.9.21.

