CVE-2026-44012 in Craftinformación

Resumen

por VulDB • 2026-05-13

Craft CMS es un sistema de gestión de contenidos (CMS). Desde la versión 5.0.0-RC1 hasta antes de la 5.9.18, AssetsController::actionShowInFolder() obtiene un activo por su ID y devuelve su nombre de archivo y la jerarquía completa de la carpeta (incluyendo el handle del volumen, el UID del volumen, los nombres de las carpetas, los UIDs de las carpetas y las rutas URI de las carpetas) sin verificar si el usuario solicitante tiene permisos de viewAssets o viewPeerAssets en el volumen del activo. Cualquier usuario autenticado del Panel de Control (CP) —incluso uno con cero permisos de volumen— puede enumerar los nombres de los archivos de los activos y la estructura completa de carpetas de cualquier volumen proporcionando IDs de activos arbitrarios. Esta vulnerabilidad se corrige en la versión 5.9.18.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-04

Divulgación

2026-05-13

Moderación

aceptado

Artículo

VDB-363378

CPE

listo

EPSS

0.00012

KEV

no

Actividades

muy bajo

Sector

Agriculture, Hostingprovider, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44012
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44012
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44012/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!