Katalog CVE

CVE-2026-56394

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 25 — wyżej niż 25% wszystkich znanych CVE

Streszczenie

Craft CMS w wersji 4.0.0-RC1 zawiera podatność na przejście ścieżki weryfikacji uwierzytelnionej w punkcie końcowym assets/icon, gdzie parametr rozszerzenia nie jest weryfikowany przed sprawdzeniem istnienia pliku. Atakujący mogą obejść walidację rozszerzenia, przekazując sekwencje przejścia, które prowadzą do istniejących plików SVG, co umożliwia dostęp do lokalnych plików.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do lokalnych plików, co stwarza ryzyko ujawnienia wrażliwych danych w organizacji.

Rekomendacja

Zaleca się aktualizację Craft CMS do najnowszej wersji, która naprawia tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji parametrów w punktach końcowych.

Oryginalny opis (angielski, źródło NVD)

Craft CMS from 4.0.0-RC1 contains an authenticated path traversal vulnerability in the assets/icon endpoint where the extension parameter is not validated before file existence checks. Attackers can bypass extension validation by passing traversal sequences that resolve to existing SVG files, allowing local file read access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS