Katalog CVE

CVE-2026-56384

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Craft CMS zawiera lukę w autoryzacji w punkcie końcowym assets/preview-thumb. Użytkownik Panelu Sterowania bez uprawnień do przeglądania prywatnego zasobu może wywołać ten punkt końcowy z kontrolowanym przez atakującego assetId i otrzymać HTML podglądu zawierający podpisany link do podglądu transformacji prywatnego zasobu.

Ocena ryzyka

Brak odpowiednich kontroli uprawnień może prowadzić do nieautoryzowanego dostępu do prywatnych zasobów, co stwarza ryzyko wycieku wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację do wersji 4.17.8 lub 5.9.14, aby usunąć tę lukę w zabezpieczeniach.

Oryginalny opis (angielski, źródło NVD)

Craft CMS contains a missing authorization vulnerability in the assets/preview-thumb endpoint. A Control Panel user without permission to view a target private asset can call the endpoint with an attacker-controlled assetId and receive preview HTML containing a signed fallback transform preview link for that private asset, because no asset-view permission check is performed before preview generation. This affects versions >= 4.0.0-RC1, <= 4.17.7 and >= 5.0.0-RC1, <= 5.9.13, and is fixed in 4.17.8 and 5.9.14.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS