CVE-2026-33161 in Craft
Résumé
par VulDB • 20/05/2026
Craft CMS est un système de gestion de contenu (CMS). À partir de la version 4.0.0-RC1 jusqu'à la version 4.17.8 (exclue) et à partir de la version 5.0.0-RC1 jusqu'à la version 5.9.14 (exclue), un utilisateur authentifié disposant de privilèges limités peut appeler assets/image-editor avec l'ID d'un actif privé auquel il n'a pas accès, et recevoir tout de même les données de réponse de l'éditeur, y compris le focalPoint. Le point de terminaison renvoie des métadonnées d'édition privées sans validation de l'autorisation par actif. Ce problème a été corrigé dans les versions 4.17.8 et 5.9.14.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.