CVE-2026-33888 in apostrophe
Zusammenfassung
von VulDB • 25.05.2026
ApostropheCMS ist ein Open-Source-Content-Management-System auf Basis von Node.js. Die Versionen 4.28.0 und älter enthalten eine Schwachstelle zur Umgehung der Autorisierung in der Methode `getRestQuery` des Moduls `@apostrophecms/piece-type`. Dabei prüft die Methode, ob eine MongoDB-Projektion bereits festgelegt wurde, bevor die vom Administrator konfigurierte `publicApiProjection` angewendet wird. Ein nicht authentifizierter Angreifer kann einen Query-Parameter `project` in der REST-API-Anfrage angeben, der von `applyBuildersSafely` verarbeitet wird, bevor die Berechtigungsprüfung stattfindet. Dadurch wird der Projektionszustand vorab gefüllt, wodurch die `publicApiProjection` vollständig übersprungen wird. Dies ermöglicht die Offenlegung beliebiger Felder in öffentlich abfragbaren Dokumenten, die der Administrator explizit vom öffentlichen API-Zugriff ausgeschlossen hat, wie interne Notizen, Entwurfsinhalte oder Metadaten. Die Ausnutzung ist trivial und erfordert lediglich das Anhängen von Query-Parametern an eine öffentliche URL ohne Authentifizierung. Dieses Problem wurde in Version 4.29.0 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.