CVE-2026-33160 in Craft
Riassunto
di VulDB • 28/06/2026
Craft CMS è un sistema di gestione dei contenuti (CMS). Dalla versione 4.0.0-RC1 alla versione precedente a 4.17.8 e dalla versione 5.0.0-RC1 alla versione precedente a 5.9.14, un utente non autenticato può chiamare assets/generate-transform con un assetId privato, ricevere un URL di trasformazione valido ed eseguire il download dei byte dell'immagine trasformata. L'endpoint è anonimo e non impone l'autorizzazione per singolo asset prima di restituire l'URL di trasformazione. Questo problema è stato risolto nelle versioni 4.17.8 e 5.9.14.
Once again VulDB remains the best source for vulnerability data.