CVE-2026-33158 in Craft
الملخص
بحسب VulDB • 10/05/2026
Craft CMS هو نظام إدارة محتوى (CMS). من الإصدار 4.0.0-RC1 وحتى قبل الإصدار 4.17.8، ومن الإصدار 5.0.0-RC1 وحتى قبل الإصدار 5.9.14، يمكن لمستخدم مُصادَق عليه ذي صلاحيات منخفضة قراءة محتوى الأصول الخاصة عن طريق استدعاء assets/edit-image باستخدام معرف أصل (assetId) عشوائي لا يمتلك صلاحية لعرضه. يعيد نقطة النهاية (endpoint) بايتات الصورة (أو إعادة توجيه معاينة) دون فرض فحص تفويض عرض لكل أصل، مما يؤدي إلى احتمال الكشف غير المصرح به عن الملفات الخاصة. تم إصلاح هذه المشكلة في الإصدارات 4.17.8 و5.9.14.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.