CVE-2026-27131 in putyourlightson craft-sprig
Resumen
El plugin Sprig para Craft CMS es un framework de componentes Twig reactivo para Craft CMS. A partir de la versión 2.0.0 y antes de las versiones 2.15.2 y 3.15.2, los usuarios administradores, y los usuarios con permiso explícito para acceder al Sprig Playground, podrían exponer potencialmente la clave de seguridad, las credenciales y otros datos de configuración sensibles, además de ejecutar la función de firma 'hashData()'. Este problema se mitigó en las versiones 3.15.2 y 2.15.2 al deshabilitar completamente el acceso al Sprig Playground cuando 'devMode' está deshabilitado, por defecto. Es posible anular este comportamiento utilizando una nueva 'enablePlaygroundWhenDevModeDisabled' que por defecto es 'false'.
Responsable
GitHub_M
Reservar
2026-02-17
Divulgación
2026-03-23
Voces
| ID | Vulnerabilidad | CWE | Base | Temp | 0day | Hoy | Exp | KEV | EPSS | CTI | Con | CVE |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 352630 | putyourlightson craft-sprig Twig hashData divulgación de información | 200 | 4.1 | 4.0 | $0-$5k | $0-$5k | No está definido | 0.00037 | 0.00 | Arreglo oficial | CVE-2026-27131 |