CVE-2026-33161 in CraftИнформация

Сводка

по VulDB • 09.05.2026

Craft CMS — это система управления контентом (CMS). Начиная с версии 4.0.0-RC1 и до версии 4.17.8 (не включительно), а также начиная с версии 5.0.0-RC1 и до версии 5.9.14 (не включительно), аутентифицированный пользователь с низкими привилегиями может вызвать endpoint assets/image-editor, передав в качестве параметра ID частного актива, доступ к которому у него отсутствует, и при этом получить данные ответа редактора, включая focalPoint. Данный endpoint возвращает приватные метаданные редактирования без проверки авторизации на уровне конкретного актива. Данная проблема была исправлена в версиях 4.17.8 и 5.9.14.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

17.03.2026

Раскрытие

24.03.2026

Модерация

принято

Вход

VDB-352828

EPSS

0.00215

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!