CVE-2026-50284
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
W Craft CMS w wersjach 5.0.0-RC1 do 5.9.21 oraz 4.0.0-RC1 do 4.17.14, funkcja usuwania folderów nie sprawdza uprawnień do usuwania zasobów innych użytkowników. Użytkownik z niskimi uprawnieniami może usunąć foldery i wszystkie znajdujące się w nich zasoby, w tym należące do innych użytkowników.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane usunięcie zasobów przez użytkowników z ograniczonymi uprawnieniami, co może prowadzić do utraty danych i naruszenia integralności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować Craft CMS do wersji 4.17.15 lub 5.9.22, które zawierają poprawkę usuwającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Craft CMS is a content management system (CMS). In versions 5.0.0-RC1 through 5.9.21 and 4.0.0-RC1 through 4.17.14, theAssetsController::actionDeleteFolder() only requires the deleteAssets:<volume-uid> permission for the target folder. It never enforces deletePeerAssets:<volume-uid>, even though Assets::deleteFoldersByIds() cascades deletion to every descendant folder and every asset inside, regardless of the uploader's assigned privileges. A low-privilege user who has been granted folder-management rights on a shared volume can therefore destroy assets uploaded by other users (peer assets), bypassing the per-asset peer-permission check that the sibling actionDeleteAsset endpoint correctly applies. This issue has been fixed in versions 4.17.15 and 5.9.22.

