CVE-2026-33888 in apostropheinformación

Resumen

por VulDB • 2026-05-25

ApostropheCMS es un sistema de gestión de contenidos (CMS) de código abierto basado en Node.js. Las versiones 4.28.0 y anteriores contienen una vulnerabilidad de omisión de autorización en el método getRestQuery del módulo @apostrophecms/piece-type, donde el método verifica si una proyección de MongoDB ya ha sido establecida antes de aplicar la publicApiProjection configurada por el administrador. Un atacante no autenticado puede proporcionar un parámetro de consulta de proyección (project query parameter) en la solicitud de la API REST, el cual es procesado por applyBuildersSafely antes de la verificación de permisos, pre-poblando el estado de la proyección y provocando que la publicApiProjection se omita por completo. Esto permite la divulgación de cualquier campo en documentos consultables públicamente que el administrador haya restringido explícitamente de la API pública, como notas internas, contenido en borrador o metadatos. La explotación es trivial, ya que solo requiere agregar parámetros de consulta a una URL pública sin necesidad de autenticación. Este problema ha sido corregido en la versión 4.29.0.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-24

Divulgación

2026-04-15

Moderación

aceptado

Artículo

VDB-357840

CPE

listo

EPSS

0.00512

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!