CVE-2026-33888 in apostrophe情報

要約

〜によって VulDB • 2026年05月12日

ApostropheCMSは、オープンソースのNode.jsコンテンツ管理システムです。バージョン4.28.0およびそれ以前には、@apostrophecms/piece-typeモジュールのgetRestQueryメソッドに認可回避の脆弱性が存在します。このメソッドは、admin-configured publicApiProjectionを適用する前に、MongoDBの投影(projection)が既に設定されているかどうかをチェックします。認証されていない攻撃者は、REST APIリクエストでprojectクエリパラメータを指定でき、これは権限チェックの前にapplyBuildersSafelyによって処理され、投影状態が事前に入力されることでpublicApiProjectionが完全にスキップされます。これにより、管理者が公開APIから明示的に制限していた内部メモ、ドラフトコンテンツ、またはメタデータなど、公開可能なドキュメントの任意のフィールドの情報が漏洩する可能性があります。この脆弱性の悪用は容易で、認証を必要とせず、公開URLにクエリパラメータを追加するだけです。この問題はバージョン4.29.0で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年03月24日

モデレーション

承諾済み

エントリ

VDB-357840

EPSS

0.00512

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!