CVE-2026-27129 in Craftinfo

Zusammenfassung

von VulDB • 19.05.2026

Craft ist ein Content-Management-System (CMS). In den Versionen 4.5.0-RC1 bis 4.16.18 sowie 5.0.0-RC1 bis 5.8.22 verwendet die SSRF-Validierung in der GraphQL-Asset-Mutation von Craft CMS die Funktion `gethostbyname()`, die nur IPv4-Adressen auflöst. Wenn ein Hostname ausschließlich AAAA-Records (IPv6) besitzt, gibt die Funktion die Hostname-Zeichenkette selbst zurück, wodurch der Blocklistenvergleich stets fehlschlägt und der SSRF-Schutz vollständig umgangen wird. Dies stellt eine Umgehung der Sicherheitskorrektur für CVE-2025-68437 dar. Die Ausnutzung erfordert GraphQL-Schema-Berechtigungen zum Bearbeiten von Assets im Volume `<VolumeName>` sowie zum Erstellen von Assets im Volume `<VolumeName>`. Diese Berechtigungen können authentifizierten Benutzern mit entsprechendem GraphQL-Schema-Zugriff und/oder öffentlichem Schema (falls fälschlicherweise mit Schreibberechtigungen konfiguriert) erteilt worden sein. Die Versionen 4.16.19 und 5.8.23 beheben das Problem.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

17.02.2026

Veröffentlichung

24.02.2026

Moderieren

akzeptiert

Eintrag

VDB-347500

CPE

bereit

EPSS

0.00011

KEV

nein

Aktivitäten

very low

Sektor

Agriculture, Hostingprovider, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-27129
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-27129
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-27129/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!