CVE-2026-33160 in Craftinfo

Zusammenfassung

von VulDB • 28.06.2026

Craft CMS ist ein Content Management System (CMS). Ab Version 4.0.0-RC1 bis vor Version 4.17.8 sowie ab Version 5.0.0-RC1 bis vor Version 5.9.14 kann ein nicht authentifizierter Benutzer assets/generate-transform mit einer privaten assetId aufrufen, eine gültige Transformations-URL erhalten und transformierte Bilddaten abrufen. Der Endpunkt ist anonym und erzwingt keine pro Asset durchgesetzte Autorisierung, bevor die Transformations-URL zurückgegeben wird. Dieses Problem wurde in den Versionen 4.17.8 und 5.9.14 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

17.03.2026

Veröffentlichung

24.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352824

CPE

bereit

EPSS

0.00355

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!