Katalog CVE

CVE-2026-50284

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

W Craft CMS w wersjach 5.0.0-RC1 do 5.9.21 oraz 4.0.0-RC1 do 4.17.14, funkcja usuwania folderów nie sprawdza uprawnień do usuwania zasobów innych użytkowników. Użytkownik z niskimi uprawnieniami może usunąć foldery i wszystkie znajdujące się w nich zasoby, w tym należące do innych użytkowników.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane usunięcie zasobów przez użytkowników z ograniczonymi uprawnieniami, co może prowadzić do utraty danych i naruszenia integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować Craft CMS do wersji 4.17.15 lub 5.9.22, które zawierają poprawkę usuwającą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Craft CMS is a content management system (CMS). In versions 5.0.0-RC1 through 5.9.21 and 4.0.0-RC1 through 4.17.14, theAssetsController::actionDeleteFolder() only requires the deleteAssets:<volume-uid> permission for the target folder. It never enforces deletePeerAssets:<volume-uid>, even though Assets::deleteFoldersByIds() cascades deletion to every descendant folder and every asset inside, regardless of the uploader's assigned privileges. A low-privilege user who has been granted folder-management rights on a shared volume can therefore destroy assets uploaded by other users (peer assets), bypassing the per-asset peer-permission check that the sibling actionDeleteAsset endpoint correctly applies. This issue has been fixed in versions 4.17.15 and 5.9.22.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS