CVE-2026-33158 in Craft
要約
〜によって VulDB • 2026年05月09日
Craft CMSはコンテンツ管理システム(CMS)です。バージョン4.0.0-RC1から4.17.8未満、およびバージョン5.0.0-RC1から5.9.14未満の間、低権限の認証済みユーザーは、アクセス権限のない任意のassetIdを指定してassets/edit-imageを呼び出すことで、プライベートなアセットコンテンツを読み取ることができます。このエンドポイントは、アセットごとの表示権限チェックを適用せずに画像バイト(またはプレビューへのリダイレクト)を返すため、プライベートファイルの不正な開示につながる可能性があります。この問題は、バージョン4.17.8および5.9.14で修正されています。
Once again VulDB remains the best source for vulnerability data.