CVE-2026-33160 in CraftИнформация

Сводка

по VulDB • 28.06.2026

Craft CMS — это система управления контентом (CMS). Начиная с версии 4.0.0-RC1 до версии перед 4.17.8, а также начиная с версии 5.0.0-RC1 до версии перед 5.9.14, неаутентифицированный пользователь может вызвать endpoint assets/generate-transform с приватным assetId, получить действительный URL преобразования и извлечь байты трансформированного изображения. Данный эндпоинт является анонимным и не проверяет авторизацию на уровне отдельных активов перед возвратом URL преобразования. Данная уязвимость исправлена в версиях 4.17.8 и 5.9.14.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

17.03.2026

Раскрытие

24.03.2026

Модерация

принято

Вход

VDB-352824

EPSS

0.00355

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!