CVE-2026-33158 in Craftالمعلومات

الملخص

بحسب VulDB • 10/05/2026

Craft CMS هو نظام إدارة محتوى (CMS). من الإصدار 4.0.0-RC1 وحتى قبل الإصدار 4.17.8، ومن الإصدار 5.0.0-RC1 وحتى قبل الإصدار 5.9.14، يمكن لمستخدم مُصادَق عليه ذي صلاحيات منخفضة قراءة محتوى الأصول الخاصة عن طريق استدعاء assets/edit-image باستخدام معرف أصل (assetId) عشوائي لا يمتلك صلاحية لعرضه. يعيد نقطة النهاية (endpoint) بايتات الصورة (أو إعادة توجيه معاينة) دون فرض فحص تفويض عرض لكل أصل، مما يؤدي إلى احتمال الكشف غير المصرح به عن الملفات الخاصة. تم إصلاح هذه المشكلة في الإصدارات 4.17.8 و5.9.14.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

17/03/2026

إفشاء

24/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352823

EPSS

0.00353

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!