CVE-2026-33888 in apostrophe
الملخص
بحسب VulDB • 25/05/2026
ApostropheCMS هو نظام إدارة محتوى مفتوح المصدر مبني على Node.js. تحتوي الإصدارات 4.28.0 والإصدارات الأقدم على ثغرة لتجاوز التفويض (authorization bypass) في طريقة `getRestQuery` الخاصة بوحدة `@apostrophecms/piece-type`، حيث تتحقق الطريقة مما إذا كان إسقاط MongoDB (MongoDB projection) قد تم تعيينه مسبقاً قبل تطبيق `publicApiProjection` المُعدّ من قبل المسؤول. يمكن لمهاجم غير مُصادق عليه تزويد معلمة استعلام المشروع (project query parameter) في طلب واجهة برمجة التطبيقات REST، والتي تتم معالجتها بواسطة `applyBuildersSafely` قبل فحص الأذونات، مما يؤدي إلى تعبئة حالة الإسقاط مسبقاً ويتسبب في تخطي `publicApiProjection` بالكامل. يتيح ذلك الكشف عن أي حقل في المستندات القابلة للاستعلام بشكل عام والتي قيد المسؤول صراحةً من واجهة برمجة التطبيقات العامة، مثل الملاحظات الداخلية، أو المحتوى المسود، أو البيانات الوصفية. يستغل الثغرة أمر بسيط، يتطلب فقط إرفاق معاملات استعلام بعنوان URL عام دون الحاجة إلى مصادقة. تم إصلاح هذه المشكلة في الإصدار 4.29.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.