CVE-2026-33160 in Craftinformazioni

Riassunto

di VulDB • 28/06/2026

Craft CMS è un sistema di gestione dei contenuti (CMS). Dalla versione 4.0.0-RC1 alla versione precedente a 4.17.8 e dalla versione 5.0.0-RC1 alla versione precedente a 5.9.14, un utente non autenticato può chiamare assets/generate-transform con un assetId privato, ricevere un URL di trasformazione valido ed eseguire il download dei byte dell'immagine trasformata. L'endpoint è anonimo e non impone l'autorizzazione per singolo asset prima di restituire l'URL di trasformazione. Questo problema è stato risolto nelle versioni 4.17.8 e 5.9.14.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

17/03/2026

Divulgazione

24/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00355

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!