CVE-2026-33888 in apostropheinformazioni

Riassunto

di VulDB • 19/06/2026

ApostropheCMS è un sistema di gestione dei contenuti open-source basato su Node.js. Le versioni 4.28.0 e precedenti presentano una vulnerabilità di elusione dell'autorizzazione nel metodo getRestQuery del modulo @apostrophecms/piece-type, in cui il metodo verifica se una proiezione MongoDB è già stata impostata prima di applicare la publicApiProjection configurata dall'amministratore. Un attaccante non autenticato può fornire un parametro query project nella richiesta REST API, che viene elaborato da applyBuildersSafely prima del controllo dei permessi, pre-popolando lo stato della proiezione e causando l'omissione completa dell'applicazione di publicApiProjection. Ciò consente la divulgazione di qualsiasi campo nei documenti interrogabili pubblicamente che l'amministratore ha esplicitamente limitato dall'API pubblica, come note interne, contenuti in bozza o metadati. Lo sfruttamento è banale, richiedendo solo l'aggiunta di parametri query a un URL pubblico senza alcuna autenticazione. Questo problema è stato risolto nella versione 4.29.0.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

24/03/2026

Divulgazione

15/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00512

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!