CVE-2026-49287
WysokieCVSS 7.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Statamic to system zarządzania treścią oparty na Laravel i Git. W wersjach przed 5.73.23 i 6.20.0 poprawka dla CVE-2026-41175 była niekompletna, co mogło prowadzić do utraty treści i zasobów w wyniku manipulacji parametrami sortowania.
Ocena ryzyka
Organizacja może stracić ważne treści i zasoby, jeśli front-endowy szablon umożliwia sortowanie według wartości kontrolowanej przez odwiedzającego. Ryzyko jest ograniczone, ponieważ wymaga specjalnej konfiguracji szablonu.
Rekomendacja
Zaleca się aktualizację do wersji 5.73.23 lub 6.20.0, aby usunąć tę podatność. Należy również sprawdzić konfigurację szablonów, aby upewnić się, że nie są one podatne na manipulacje.
Oryginalny opis (angielski, źródło NVD)
Statamic is a Laravel and Git powered content management system (CMS). Prior to 5.73.23 and 6.20.0, the fix for CVE-2026-41175 was incomplete. It addressed the issue in the query builder, but the same protection was not applied to in-memory collection sorting. Manipulating sort parameters could result in the loss of content and assets. This requires a front-end template that passes request input into a tag's sort parameter. It is not exploitable by default — a template would need to be explicitly set up to sort by a visitor-controlled value. This has been fixed in 5.73.23 and 6.20.0.

