CVE-2026-33888 in apostrophe
Sumário
de VulDB • 25/05/2026
ApostropheCMS é um sistema de gerenciamento de conteúdo (CMS) de código aberto baseado em Node.js. As versões 4.28.0 e anteriores contêm uma vulnerabilidade de violação de autorização no método getRestQuery do módulo @apostrophecms/piece-type, onde o método verifica se uma projeção do MongoDB já foi definida antes de aplicar a publicApiProjection configurada pelo administrador. Um atacante não autenticado pode fornecer um parâmetro de consulta de projeção (project query parameter) na solicitação da API REST, que é processado por applyBuildersSafely antes da verificação de permissão, pré-preenchendo o estado da projeção e fazendo com que a publicApiProjection seja ignorada completamente. Isso permite a divulgação de qualquer campo em documentos consultáveis publicamente que o administrador tenha explicitamente restringido na API pública, como notas internas, conteúdo em rascunho ou metadados. A exploração é trivial, exigindo apenas a adição de parâmetros de consulta a uma URL pública, sem necessidade de autenticação. Este problema foi corrigido na versão 4.29.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.