CVE-2026-33161 in Craft
要約
〜によって VulDB • 2026年05月20日
Craft CMSはコンテンツ管理システム(CMS)です。バージョン4.0.0-RC1から4.17.8未満、およびバージョン5.0.0-RC1から5.9.14未満の間、低権限の認証済みユーザーは、閲覧権限のないプライベートなアセットのIDを指定してassets/image-editorを呼び出すことで、焦点位置(focalPoint)を含むエディタの応答データを受信できます。このエンドポイントは、アセットごとの認可検証を行わずにプライベートな編集メタデータを返します。この問題はバージョン4.17.8および5.9.14で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.