CVE-2026-50282
ŚrednieCVSS 4.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Craft CMS w wersjach od 5.0.0-RC1 do 5.9.21 oraz od 4.0.0-RC1 do 4.17.14 zawiera podatność autoryzacyjną, która umożliwia wymuszone przeniesienie folderu i usunięcie kolidującego folderu docelowego bez wymaganych uprawnień do jego usunięcia. Problem dotyczy funkcji actionMoveFolder() w kontrolerze AssetsController.
Ocena ryzyka
Atakujący może usunąć foldery w systemie CMS, do których nie ma uprawnień, co może prowadzić do utraty danych lub zakłócenia działania aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować Craft CMS do wersji 5.9.21 lub 4.17.14, w których usunięto podatność.
Oryginalny opis (angielski, źródło NVD)
Craft CMS is a content management system (CMS). Versions 5.0.0-RC1 and above, prior to 5.9.21 and versions 4.0.0-RC1 and above prior to 4.17.14 contain an authorization issue where a forced folder move can delete a conflicting destination folder without destination delete permission. Function craft\\controllers\\AssetsController::actionMoveFolder() supports moving an asset folder into a destination parent folder. If a folder with the same name already exists at the destination, the action can be called with force=true to overwrite the destination. This issue has been resolved in versions 5.9.21 and 4.17.14.

