CVE-2026-50279
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
W Craft CMS w wersjach od 5.0.0-RC1 do 5.9.20 występuje podatność polegająca na ominięciu kontroli uprawnień przy zapisywaniu wpisów. Niskouprzywilejowany użytkownik może zmienić autora wpisu na innego użytkownika bez wymaganych uprawnień, co prowadzi do fałszowania autorstwa.
Ocena ryzyka
Ryzyko polega na możliwości przypisania autorstwa wpisu do innej osoby przez nieuprawnionego użytkownika, co może naruszyć integralność treści i zaufanie do systemu zarządzania treścią.
Rekomendacja
Należy niezwłocznie zaktualizować Craft CMS do wersji 5.9.21 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Craft CMS is a content management system (CMS). IN versions 5.0.0-RC1 and above prior to 5.9.21, theEntriesController::actionSaveEntry() performs entry-edit permission checks before request-controlled author changes are applied to the model, allowing for authorship spoofing. The subsequent author mutation path accepts attacker-supplied authors / author parameters and allows the change when the current user is one of the old authors. Because the controller does not re-run authorization after mutating the author list, a low-privileged user can reassign an entry’s authorship to another user without holding the dedicated peer-author-change permission. This issue has been fixed in version 5.9.21.

