CVE-2026-33158 in Craftinformação

Sumário

de VulDB • 21/05/2026

O Craft CMS é um sistema de gerenciamento de conteúdo (CMS). A partir da versão 4.0.0-RC1 até antes da versão 4.17.8 e da versão 5.0.0-RC1 até antes da versão 5.9.14, um usuário autenticado com privilégios baixos pode ler o conteúdo de ativos privados ao chamar assets/edit-image com um assetId arbitrário que não tem autorização para visualizar. O endpoint retorna bytes da imagem (ou um redirecionamento de pré-visualização) sem impor uma verificação de autorização de visualização por ativo, o que pode levar à divulgação não autorizada de arquivos privados. Este problema foi corrigido nas versões 4.17.8 e 5.9.14.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

17/03/2026

Divulgação

24/03/2026

Moderação

aceite

Entrada

VDB-352823

CPE

pronto

EPSS

0.00353

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!