CVE-2026-28781

Nome do Software Vulnerável e Versões Afetadas Versões do Craft anteriores a 4.17.0-beta.1 Versões do Craft anteriores a 5.9.0-beta.1

Descrição O processo de criação de entradas permite a Atribuição em Massa do atributo authorId. Um usuário com permissão "Criar Entradas" pode injetar o parâmetro authorIds[] ou authorId na requisição POST. O backend processa esse parâmetro sem verificar se o usuário atual está autorizado a atribuir autoria a outros. Normalmente, esse campo não está presente na requisição para usuários sem as permissões necessárias. Ao adicionar manualmente esse parâmetro, um atacante pode atribuir a nova entrada a qualquer usuário, efetivamente "falsificando" a autoria. Isso poderia permitir que um atacante publique conteúdo malicioso ou inadequado atribuído a um administrador ou outros usuários confiáveis, possivelmente contornando processos de revisão ou ganhando confiança com base em uma autoria falsa.

Recomendações Versões anteriores a 4.17.0-beta.1 devem ser atualizadas para 4.17.0-beta.1 ou posterior. Versões anteriores a 5.9.0-beta.1 devem ser atualizadas para 5.9.0-beta.1 ou posterior.