CVE-2026-33158 in Craftinformación

Resumen

por MITRE • 2026-03-24

Craft CMS es un sistema de gestión de contenido (CMS). Desde la versión 4.0.0-RC1 hasta antes de la versión 4.17.8 y desde la versión 5.0.0-RC1 hasta antes de la versión 5.9.14, un usuario autenticado con bajos privilegios puede leer contenido de activos privados llamando a assets/edit-image con un assetId arbitrario que no está autorizado a ver. El endpoint devuelve bytes de imagen (o una redirección de vista previa) sin aplicar una verificación de autorización de vista por activo, lo que lleva a una posible divulgación no autorizada de archivos privados. Este problema ha sido parcheado en las versiones 4.17.8 y 5.9.14.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-17

Divulgación

2026-03-24

Moderación

aceptado

Artículo

VDB-352823

CPE

listo

EPSS

0.00353

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!