CVE-2026-32101 in studiocmsinformación

Resumen

por MITRE • 2026-03-11

StudioCMS es un sistema de gestión de contenido sin cabeza, nativo de Astro, renderizado en el lado del servidor. Antes de la versión 0.3.1, la función isAuthorized() del gestor de almacenamiento de S3 está declarada como asíncrona (devuelve Promise) pero es llamada sin await tanto en los manejadores POST como PUT. Dado que un objeto Promise siempre es verdadero en JavaScript, !isAuthorized(type) siempre se evalúa como falso, omitiendo completamente la verificación de autorización. Cualquier usuario autenticado con el rol de visitante más bajo puede cargar, eliminar, renombrar y listar todos los archivos en el bucket de S3. Esta vulnerabilidad está corregida en la versión 0.3.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-10

Divulgación

2026-03-11

Moderación

aceptado

Artículo

VDB-350637

CPE

listo

EPSS

0.00053

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32101
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32101
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32101/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!