CVE-2026-33160 in Craftinformação

Sumário

de VulDB • 28/06/2026

O Craft CMS é um sistema de gerenciamento de conteúdo (CMS). A partir da versão 4.0.0-RC1 até antes da versão 4.17.8 e a partir da versão 5.0.0-RC1 até antes da versão 5.9.14, um usuário não autenticado pode chamar assets/generate-transform com um assetId privado, receber uma URL de transformação válida e buscar os bytes da imagem transformada. O endpoint é anônimo e não aplica autorização por ativo antes de retornar a URL de transformação. Este problema foi corrigido nas versões 4.17.8 e 5.9.14.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

17/03/2026

Divulgação

24/03/2026

Moderação

aceite

Entrada

VDB-352824

CPE

pronto

EPSS

0.00355

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!