Katalog CVE

CVE-2026-53609

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

ApostropheCMS to system zarządzania treścią oparty na Node.js, który w wersjach do 4.30.0 pozwala na nieautoryzowane modyfikacje prototypu obiektów przez uwierzytelnionych edytorów. Wykorzystanie operatora `$pullAll` umożliwia zapis dowolnych wartości do `Object.prototype`, co prowadzi do obejścia autoryzacji na wszystkich punktach końcowych REST API.

Ocena ryzyka

Organizacja może być narażona na poważne zagrożenia związane z bezpieczeństwem, ponieważ nieautoryzowani użytkownicy mogą uzyskać dostęp do wrażliwych danych lub funkcji systemu. Potencjalne wykorzystanie tej podatności może prowadzić do nieautoryzowanych zmian w aplikacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji ApostropheCMS, gdy tylko zostanie wydana poprawka. Należy również rozważyć dodatkowe środki zabezpieczające, takie jak monitorowanie i ograniczenie dostępu do API.

Oryginalny opis (angielski, źródło NVD)

ApostropheCMS is an open-source Node.js content management system. In versions up to and including 4.30.0, `apos.util.set()` traverses dot-notation paths without sanitizing `__proto__`, allowing an authenticated editor to write arbitrary values to `Object.prototype` via the `$pullAll` patch operator. A confirmed gadget in `publicApiCheck()` causes this to bypass authorization on all piece-type REST API endpoints for every subsequent unauthenticated request, for the lifetime of the Node.js process. As of time of publication, no known patched versions are available.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS