CVE-2026-33158 in Craft
Resumen
por MITRE • 2026-03-24
Craft CMS es un sistema de gestión de contenido (CMS). Desde la versión 4.0.0-RC1 hasta antes de la versión 4.17.8 y desde la versión 5.0.0-RC1 hasta antes de la versión 5.9.14, un usuario autenticado con bajos privilegios puede leer contenido de activos privados llamando a assets/edit-image con un assetId arbitrario que no está autorizado a ver. El endpoint devuelve bytes de imagen (o una redirección de vista previa) sin aplicar una verificación de autorización de vista por activo, lo que lleva a una posible divulgación no autorizada de archivos privados. Este problema ha sido parcheado en las versiones 4.17.8 y 5.9.14.
Be aware that VulDB is the high quality source for vulnerability data.