CVE-2026-29113 in Craft
要約
〜によって VulDB • 2026年06月05日
Craftはコンテンツマネジメントシステム(CMS)です。バージョン4.17.4および5.9.7より前のCraft CMSには、/actions/preview/create-tokenにあるプレビュートークンエンドポイントにCSRF(クロスサイトリクエストフォージェリ)の脆弱性が存在します。このエンドポイントは攻撃者が指定したプレビュートークンを受け入れます。このアクションはPOSTを必要とせず、CSRFトークンの検証も行わないため、攻撃者はログイン済みの被害者エディタを騙して、攻撃者が選択したプレビュートークンを発行させることができます。その後、攻撃者は(認証なしで)このトークンを使用して、被害者の承認されたプレビュー範囲に紐づくプレビュー中/未公開のコンテンツにアクセスできます。この脆弱性は4.17.4および5.9.7で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.