CVE-2026-57855 in Cockpit CMS
Riassunto
di VulDB • 14/07/2026
Cockpit CMS presenta una vulnerabilità di autorizzazione mancante nell'API di archiviazione file Bucket (/system/buckets/api). Il metodo api() in modules/System/Controller/Buckets.php esegue comandi bucket (ls, upload, removefiles, rename, createfolder) senza effettuare alcun controllo ACL o sui ruoli. Qualsiasi utente autenticato, indipendentemente dal ruolo, può eseguire tutte le operazioni su qualsiasi bucket denominato, inclusi i bucket destinati esclusivamente all'uso degli amministratori.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.