CVE-2026-33161 in Craftinformación

Resumen

por MITRE • 2026-03-24

Craft CMS es un sistema de gestión de contenido (CMS). Desde la versión 4.0.0-RC1 hasta antes de la versión 4.17.8 y desde la versión 5.0.0-RC1 hasta antes de la versión 5.9.14, un usuario autenticado con bajos privilegios puede llamar a assets/image-editor con el ID de un activo privado que no puede ver y aun así recibir datos de respuesta del editor, incluyendo focalPoint. El endpoint devuelve metadatos de edición privados sin validación de autorización por activo. Este problema ha sido parcheado en las versiones 4.17.8 y 5.9.14.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-03-17

Divulgación

2026-03-24

Moderación

aceptado

Artículo

VDB-352828

CPE

listo

EPSS

0.00215

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!