CVE-2026-32103 in studiocmsinfo

Zusammenfassung

von VulDB • 26.05.2026

StudioCMS ist ein serverseitig gerendertes, Astro-natives, headless Content-Management-System. Vor Version 0.4.3 ermöglicht der Endpunkt POST /studiocms_api/dashboard/create-reset-link jedem authentifizierten Benutzer mit Administratorrechten, einen Kennwort-Zurücksetzungs-Token für jeden anderen Benutzer, einschließlich des Eigentümerkontos, zu generieren. Der Handler überprüft zwar, ob der Aufrufer ein Administrator ist, erzwingt jedoch keine Rollenhierarchie und validiert auch nicht, ob die Ziel-UserId mit der Identität des Aufrufers übereinstimmt. In Kombination mit dem Endpunkt POST /studiocms_api/dashboard/reset-password ermöglicht dies eine vollständige Übernahme des Kontos mit den höchsten Berechtigungen im System. Diese Schwachstelle wurde in Version 0.4.3 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

10.03.2026

Veröffentlichung

11.03.2026

Moderieren

akzeptiert

Eintrag

VDB-350606

CPE

bereit

EPSS

0.00019

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32103
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32103
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32103/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!