CVE-2026-53609
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
ApostropheCMS to system zarządzania treścią oparty na Node.js, który w wersjach do 4.30.0 pozwala na nieautoryzowane modyfikacje prototypu obiektów przez uwierzytelnionych edytorów. Wykorzystanie operatora `$pullAll` umożliwia zapis dowolnych wartości do `Object.prototype`, co prowadzi do obejścia autoryzacji na wszystkich punktach końcowych REST API.
Ocena ryzyka
Organizacja może być narażona na poważne zagrożenia związane z bezpieczeństwem, ponieważ nieautoryzowani użytkownicy mogą uzyskać dostęp do wrażliwych danych lub funkcji systemu. Potencjalne wykorzystanie tej podatności może prowadzić do nieautoryzowanych zmian w aplikacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji ApostropheCMS, gdy tylko zostanie wydana poprawka. Należy również rozważyć dodatkowe środki zabezpieczające, takie jak monitorowanie i ograniczenie dostępu do API.
Oryginalny opis (angielski, źródło NVD)
ApostropheCMS is an open-source Node.js content management system. In versions up to and including 4.30.0, `apos.util.set()` traverses dot-notation paths without sanitizing `__proto__`, allowing an authenticated editor to write arbitrary values to `Object.prototype` via the `$pullAll` patch operator. A confirmed gadget in `publicApiCheck()` causes this to bypass authorization on all piece-type REST API endpoints for every subsequent unauthenticated request, for the lifetime of the Node.js process. As of time of publication, no known patched versions are available.

