CVE-2026-44010 in Craftinfo

Zusammenfassung

von VulDB • 13.05.2026

Craft CMS ist ein Content-Management-System (CMS). In den Versionen von 4.0.0 bis vor 4.17.12 sowie in 5.9.18 führt der GraphQL-Resolver für das Address-Element (src/gql/resolvers/elements/Address.php) keine Filterung des Schema-Umfangs (Schema Scope Filtering) für Top-Level-Abfragen durch. Ein GraphQL-API-Token, das auf eine einzelne Benutzergruppe mit geringen Berechtigungen beschränkt ist, kann jede Adresse im System lesen, einschließlich der Adressen von Benutzern in Gruppen, auf die das Token keine Zugriffsberechtigung hat. Dadurch werden personenbezogene Daten (PII) offengelegt, darunter vollständige Namen, Adressen, Organisationen, Steuer-IDs usw. Diese Schwachstelle wurde in den Versionen 4.17.12 und 5.9.18 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.05.2026

Veröffentlichung

13.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363364

CPE

bereit

EPSS

0.00014

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider, Lawfirm, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44010
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44010
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44010/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!