Katalog CVE

CVE-2026-54164

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Podatność w API Platform Core przed wersjami 4.1.30, 4.2.26 i 4.3.12 umożliwia atakującemu podmianę typu zasobu w relacjach IRI. Brak walidacji typu zwracanego zasobu w AbstractItemNormalizer pozwala na przypisanie obiektu niezgodnego z deklarowanym typem relacji.

Ocena ryzyka

Atakujący może wysłać żądanie POST/PUT/PATCH z IRI wskazującym na zasób innego typu, co prowadzi do naruszenia spójności danych i potencjalnego wykorzystania błędów w logice biznesowej zakładającej określony typ.

Rekomendacja

Niezwłocznie zaktualizuj API Platform Core do wersji 4.1.30, 4.2.26 lub 4.3.12 w zależności od używanej gałęzi. Po aktualizacji zweryfikuj działanie relacji w API.

Oryginalny opis (angielski, źródło NVD)

API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. In versions prior to 4.1.30, 4.2.26 and 4.3.12, the serializer's AbstractItemNormalizer does not validate the resource type returned when resolving relation IRIs, allowing type confusion where a resource of an unintended type can be silently assigned to a relation property. An attacker who can submit write requests (POST/PUT/PATCH) to an API Platform endpoint with writable relations can supply a relation IRI pointing to a resource of a different type than the relation's declared class. Because getResourceFromIri() does not pass an $operation to IriConverter::getResourceFromIri(), the is_a type guard at IriConverter.php:86 is skipped. For untyped relation properties (legacy @var-only style), the wrong-typed object is silently assigned, corrupting invariants and potentially feeding downstream logic that assumes the declared type (CWE-843). For typed properties (modern PHP 8.x), the substitution is blocked by Symfony's PropertyAccessor with an InvalidTypeException. This issue has been fixed in versions 4.1.30, 4.2.26 and 4.3.12.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS