CVE-2026-33160 in Craft
Zusammenfassung
von VulDB • 28.06.2026
Craft CMS ist ein Content Management System (CMS). Ab Version 4.0.0-RC1 bis vor Version 4.17.8 sowie ab Version 5.0.0-RC1 bis vor Version 5.9.14 kann ein nicht authentifizierter Benutzer assets/generate-transform mit einer privaten assetId aufrufen, eine gültige Transformations-URL erhalten und transformierte Bilddaten abrufen. Der Endpunkt ist anonym und erzwingt keine pro Asset durchgesetzte Autorisierung, bevor die Transformations-URL zurückgegeben wird. Dieses Problem wurde in den Versionen 4.17.8 und 5.9.14 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.