CVE-2026-33888 in apostropheالمعلومات

الملخص

بحسب VulDB • 25/05/2026

ApostropheCMS هو نظام إدارة محتوى مفتوح المصدر مبني على Node.js. تحتوي الإصدارات 4.28.0 والإصدارات الأقدم على ثغرة لتجاوز التفويض (authorization bypass) في طريقة `getRestQuery` الخاصة بوحدة `@apostrophecms/piece-type`، حيث تتحقق الطريقة مما إذا كان إسقاط MongoDB (MongoDB projection) قد تم تعيينه مسبقاً قبل تطبيق `publicApiProjection` المُعدّ من قبل المسؤول. يمكن لمهاجم غير مُصادق عليه تزويد معلمة استعلام المشروع (project query parameter) في طلب واجهة برمجة التطبيقات REST، والتي تتم معالجتها بواسطة `applyBuildersSafely` قبل فحص الأذونات، مما يؤدي إلى تعبئة حالة الإسقاط مسبقاً ويتسبب في تخطي `publicApiProjection` بالكامل. يتيح ذلك الكشف عن أي حقل في المستندات القابلة للاستعلام بشكل عام والتي قيد المسؤول صراحةً من واجهة برمجة التطبيقات العامة، مثل الملاحظات الداخلية، أو المحتوى المسود، أو البيانات الوصفية. يستغل الثغرة أمر بسيط، يتطلب فقط إرفاق معاملات استعلام بعنوان URL عام دون الحاجة إلى مصادقة. تم إصلاح هذه المشكلة في الإصدار 4.29.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

24/03/2026

إفشاء

15/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357840

EPSS

0.00512

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!