Katalog CVE

CVE-2026-48067

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

W komponentach Filament dla Laravel, metoda recordSelectOptionsQuery() nie stosowała odpowiedniej walidacji dla pól Select w AttachAction i AssociateAction. Umożliwia to użytkownikom manipulację stanem komponentu Livewire i przesyłanie wartości spoza zakresu.

Ocena ryzyka

Ta podatność może prowadzić do nieautoryzowanego dostępu do danych lub nieprawidłowego działania aplikacji, co zagraża integralności systemu.

Rekomendacja

Zaleca się aktualizację do wersji filament/actions 4.11.4 lub 5.6.4 oraz filament/tables 3.3.51, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Filament is a collection of full-stack components for accelerated Laravel development. From filament/actions 4.0.0 until 4.11.4 and 5.6.4 and from filament/tables 3.0.0 until 3.3.51, the recordSelectOptionsQuery() method may be used to scope the options available in the Select field for AttachAction and AssociateAction. However, the built-in validation rule for these fields did not apply the same scope. As a result, a user who can trigger these actions could tamper with the Livewire component's state and submit an out-of-scope value. This vulnerability is fixed in filament/actions 4.11.4 and 5.6.4 and filament/tables 3.3.51.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS