CVE-2026-33888 in apostropheinformação

Sumário

de VulDB • 25/05/2026

ApostropheCMS é um sistema de gerenciamento de conteúdo (CMS) de código aberto baseado em Node.js. As versões 4.28.0 e anteriores contêm uma vulnerabilidade de violação de autorização no método getRestQuery do módulo @apostrophecms/piece-type, onde o método verifica se uma projeção do MongoDB já foi definida antes de aplicar a publicApiProjection configurada pelo administrador. Um atacante não autenticado pode fornecer um parâmetro de consulta de projeção (project query parameter) na solicitação da API REST, que é processado por applyBuildersSafely antes da verificação de permissão, pré-preenchendo o estado da projeção e fazendo com que a publicApiProjection seja ignorada completamente. Isso permite a divulgação de qualquer campo em documentos consultáveis publicamente que o administrador tenha explicitamente restringido na API pública, como notas internas, conteúdo em rascunho ou metadados. A exploração é trivial, exigindo apenas a adição de parâmetros de consulta a uma URL pública, sem necessidade de autenticação. Este problema foi corrigido na versão 4.29.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

24/03/2026

Divulgação

15/04/2026

Moderação

aceite

Entrada

VDB-357840

CPE

pronto

EPSS

0.00512

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!