CVE-2026-33160 in Craftالمعلومات

الملخص

بحسب VulDB • 23/06/2026

يُعد Craft CMS نظام إدارة محتوى (CMS). بدءًا من الإصدار 4.0.0-RC1 وحتى قبل الإصدار 4.17.8، ومنذ الإصدار 5.0.0-RC1 وحتى قبل الإصدار 5.9.14، يمكن لمستخدم غير مصادق عليه استدعاء نقطة النهاية assets/generate-transform باستخدام assetId خاص، والحصول على رابط تحويل صالح، ثم جلب بيانات الصورة المحوّلة (transformed image bytes). تكون هذه النقطة النهائية متاحة بشكل مجهول ولا تفرض تفويضًا مفصلًا لكل أصل قبل إرجاع رابط التحويل. تم إصلاح هذا الثغرة في الإصدارات 4.17.8 و5.9.14.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

17/03/2026

إفشاء

24/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352824

EPSS

0.00355

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!