CVE-2026-28696

Nome do Software Vulnerável e Versões Afetadas Versões do Craft anteriores a 4.17.0-beta.1 e versões anteriores a 5.9.0-beta.1

Descrição O Craft é um sistema de gerenciamento de conteúdo (CMS) que contém uma falha na diretiva GraphQL @parseRefs. Essa diretiva, projetada para analisar tags de referência internas, pode ser explorada tanto por usuários autenticados quanto por convidados não autenticados (quando um Esquema Público está habilitado) para acessar atributos sensíveis de qualquer elemento dentro do CMS. A implementação de Elements::parseRefs não possui verificações de autorização, permitindo que atacantes leiam dados aos quais não têm permissão para acessar. A vulnerabilidade permite o acesso a atributos sensíveis por meio de tags de referência como {user:1:email}. Vetores de ataque incluem elevação de privilégios, vazamento de dados de usuários, reflexão arbitrária de propriedades, execução de lógica no lado do servidor e IDOR em entradas e ativos privados. A diretiva @parseRefs está ativa no Esquema Público, permitindo exploração não autenticada. A exploração pode ocorrer por meio de endpoints de API, como o endpoint da API GraphQL /index.php?action=graphql/api, utilizando payloads em consultas. A função vulnerável é Elements::parseRefs. A vulnerabilidade pode levar à divulgação crítica de informações, vazamento de informações do sistema e possível bypass de autenticação.

Recomendações Versões anteriores a 4.17.0-beta.1: Modifique Elements::parseRefs para garantir que as permissões canView sejam aplicadas ao elemento resolvido antes de extrair os atributos. Versões anteriores a 5.9.0-beta.1: Modifique Elements::parseRefs para garantir que as permissões canView sejam aplicadas ao elemento resolvido antes de extrair os atributos.