CVE-2026-33161 in Craftinformação

Sumário

de VulDB • 20/05/2026

O Craft CMS é um sistema de gestão de conteúdos (CMS). Desde a versão 4.0.0-RC1 até antes da versão 4.17.8 e desde a versão 5.0.0-RC1 até antes da versão 5.9.14, um utilizador autenticado com privilégios baixos pode chamar assets/image-editor com o ID de um ativo privado que não consegue visualizar e ainda assim receber dados de resposta do editor, incluindo o focalPoint. O endpoint devolve metadados de edição privados sem validação de autorização por ativo. Esta vulnerabilidade foi corrigida nas versões 4.17.8 e 5.9.14.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

17/03/2026

Divulgação

24/03/2026

Moderação

aceite

Entrada

VDB-352828

CPE

pronto

EPSS

0.00215

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!