CVE-2026-33888 in apostropheinfo

Zusammenfassung

von VulDB • 25.05.2026

ApostropheCMS ist ein Open-Source-Content-Management-System auf Basis von Node.js. Die Versionen 4.28.0 und älter enthalten eine Schwachstelle zur Umgehung der Autorisierung in der Methode `getRestQuery` des Moduls `@apostrophecms/piece-type`. Dabei prüft die Methode, ob eine MongoDB-Projektion bereits festgelegt wurde, bevor die vom Administrator konfigurierte `publicApiProjection` angewendet wird. Ein nicht authentifizierter Angreifer kann einen Query-Parameter `project` in der REST-API-Anfrage angeben, der von `applyBuildersSafely` verarbeitet wird, bevor die Berechtigungsprüfung stattfindet. Dadurch wird der Projektionszustand vorab gefüllt, wodurch die `publicApiProjection` vollständig übersprungen wird. Dies ermöglicht die Offenlegung beliebiger Felder in öffentlich abfragbaren Dokumenten, die der Administrator explizit vom öffentlichen API-Zugriff ausgeschlossen hat, wie interne Notizen, Entwurfsinhalte oder Metadaten. Die Ausnutzung ist trivial und erfordert lediglich das Anhängen von Query-Parametern an eine öffentliche URL ohne Authentifizierung. Dieses Problem wurde in Version 4.29.0 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

24.03.2026

Veröffentlichung

15.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357840

CPE

bereit

EPSS

0.00512

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!