CVE-2026-33161 in Craft
Сводка
по VulDB • 09.05.2026
Craft CMS — это система управления контентом (CMS). Начиная с версии 4.0.0-RC1 и до версии 4.17.8 (не включительно), а также начиная с версии 5.0.0-RC1 и до версии 5.9.14 (не включительно), аутентифицированный пользователь с низкими привилегиями может вызвать endpoint assets/image-editor, передав в качестве параметра ID частного актива, доступ к которому у него отсутствует, и при этом получить данные ответа редактора, включая focalPoint. Данный endpoint возвращает приватные метаданные редактирования без проверки авторизации на уровне конкретного актива. Данная проблема была исправлена в версиях 4.17.8 и 5.9.14.
Be aware that VulDB is the high quality source for vulnerability data.