Katalog CVE

CVE-2026-50282

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Craft CMS w wersjach od 5.0.0-RC1 do 5.9.21 oraz od 4.0.0-RC1 do 4.17.14 zawiera podatność autoryzacyjną, która umożliwia wymuszone przeniesienie folderu i usunięcie kolidującego folderu docelowego bez wymaganych uprawnień do jego usunięcia. Problem dotyczy funkcji actionMoveFolder() w kontrolerze AssetsController.

Ocena ryzyka

Atakujący może usunąć foldery w systemie CMS, do których nie ma uprawnień, co może prowadzić do utraty danych lub zakłócenia działania aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować Craft CMS do wersji 5.9.21 lub 4.17.14, w których usunięto podatność.

Oryginalny opis (angielski, źródło NVD)

Craft CMS is a content management system (CMS). Versions 5.0.0-RC1 and above, prior to 5.9.21 and versions 4.0.0-RC1 and above prior to 4.17.14 contain an authorization issue where a forced folder move can delete a conflicting destination folder without destination delete permission. Function craft\\controllers\\AssetsController::actionMoveFolder() supports moving an asset folder into a destination parent folder. If a folder with the same name already exists at the destination, the action can be called with force=true to overwrite the destination. This issue has been resolved in versions 5.9.21 and 4.17.14.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS