CVE-2026-56384
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Craft CMS zawiera lukę w autoryzacji w punkcie końcowym assets/preview-thumb. Użytkownik Panelu Sterowania bez uprawnień do przeglądania prywatnego zasobu może wywołać ten punkt końcowy z kontrolowanym przez atakującego assetId i otrzymać HTML podglądu zawierający podpisany link do podglądu transformacji prywatnego zasobu.
Ocena ryzyka
Brak odpowiednich kontroli uprawnień może prowadzić do nieautoryzowanego dostępu do prywatnych zasobów, co stwarza ryzyko wycieku wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację do wersji 4.17.8 lub 5.9.14, aby usunąć tę lukę w zabezpieczeniach.
Oryginalny opis (angielski, źródło NVD)
Craft CMS contains a missing authorization vulnerability in the assets/preview-thumb endpoint. A Control Panel user without permission to view a target private asset can call the endpoint with an attacker-controlled assetId and receive preview HTML containing a signed fallback transform preview link for that private asset, because no asset-view permission check is performed before preview generation. This affects versions >= 4.0.0-RC1, <= 4.17.7 and >= 5.0.0-RC1, <= 5.9.13, and is fixed in 4.17.8 and 5.9.14.

