CVE-2026-54261
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W Wagtail, systemie zarządzania treścią opartym na Django, brakuje kontroli uprawnień w punkcie końcowym podglądu obrazów. Użytkownik z dostępem do panelu administracyjnego może podglądać dowolny obraz, ale nie są ujawniane dane samego obiektu obrazu. Luka nie jest dostępna dla zwykłych odwiedzających stronę.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym dostępie do obrazów przez użytkowników z uprawnieniami administracyjnymi, co może prowadzić do wycieku wrażliwych treści wizualnych. Atakujący może wykorzystać tę lukę do przeglądania obrazów, do których nie powinien mieć dostępu.
Rekomendacja
Należy natychmiast zaktualizować Wagtail do wersji 7.0.8, 7.3.3 lub 7.4.2, które zawierają poprawkę usuwającą brak kontroli uprawnień. Po aktualizacji sprawdź konfigurację dostępu do panelu administracyjnego.
Oryginalny opis (angielski, źródło NVD)
Wagtail is an open source content management system built on Django. In versions prior to 7.0.8, 7.3.3 and 7.4.2, due to a missing permission check on the image preview endpoint, a user with access to the Wagtail admin can preview any image. The existing data of the image object itself is not exposed. The vulnerability is not exploitable by an ordinary site visitor without access to the Wagtail admin. This issue has been fixed in versions 7.0.8, 7.3.3, and 7.4.2.

