CVE-2026-29113 in Craftinformación

Resumen

por MITRE • 2026-03-10

Craft es un sistema de gestión de contenido (CMS). Antes de 4.17.4 y 5.9.7, Craft CMS tiene un problema de CSRF en el endpoint de token de vista previa en /actions/preview/create-token. El endpoint acepta un previewToken suministrado por el atacante. Debido a que la acción no requiere POST y no impone un token CSRF, un atacante puede forzar a un editor víctima que ha iniciado sesión a acuñar un token de vista previa elegido por el atacante. Ese token puede ser usado entonces por el atacante (sin autenticación) para acceder a contenido previsualizado/no publicado vinculado al alcance de vista previa autorizado de la víctima. Esta vulnerabilidad está corregida en 4.17.4 y 5.9.7.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-03

Divulgación

2026-03-10

Moderación

aceptado

Artículo

VDB-350214

CPE

listo

CWE

CWE-352 (confirmado)

CVSS

4.3 (NVD)

EPSS

0.00008

KEV

Actividades

muy bajo

Sector

Lawfirm, Hostingprovider, ...

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-29113
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-29113
CVE Details	https://www.cvedetails.com/cve/CVE-2026-29113/

◂ Anterior Visión De Conjunto Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!