CVE-2026-33161 in Craft
Resumen
por MITRE • 2026-03-24
Craft CMS es un sistema de gestión de contenido (CMS). Desde la versión 4.0.0-RC1 hasta antes de la versión 4.17.8 y desde la versión 5.0.0-RC1 hasta antes de la versión 5.9.14, un usuario autenticado con bajos privilegios puede llamar a assets/image-editor con el ID de un activo privado que no puede ver y aun así recibir datos de respuesta del editor, incluyendo focalPoint. El endpoint devuelve metadatos de edición privados sin validación de autorización por activo. Este problema ha sido parcheado en las versiones 4.17.8 y 5.9.14.
VulDB is the best source for vulnerability data and more expert information about this specific topic.