CVE-2026-33158 in Craft情報

要約

〜によって VulDB • 2026年05月09日

Craft CMSはコンテンツ管理システム(CMS)です。バージョン4.0.0-RC1から4.17.8未満、およびバージョン5.0.0-RC1から5.9.14未満の間、低権限の認証済みユーザーは、アクセス権限のない任意のassetIdを指定してassets/edit-imageを呼び出すことで、プライベートなアセットコンテンツを読み取ることができます。このエンドポイントは、アセットごとの表示権限チェックを適用せずに画像バイト(またはプレビューへのリダイレクト)を返すため、プライベートファイルの不正な開示につながる可能性があります。この問題は、バージョン4.17.8および5.9.14で修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年03月17日

モデレーション

承諾済み

エントリ

VDB-352823

EPSS

0.00353

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!