CVE-2026-29069

Nome do Software Vulnerável e Versões Afetadas Versões do Craft CMS anteriores a 5.9.0-beta.2 e versões anteriores a 4.17.0-beta.2

Descrição O Craft é um sistema de gerenciamento de conteúdo. O endpoint actionSendActivationEmail() é acessível a usuários não autenticados e carece de verificações de permissão para usuários pendentes. Um atacante pode disparar e-mails de ativação para qualquer conta de usuário pendente ao saber ou adivinhar o ID do usuário. Se o atacante controlar o endereço de e-mail do usuário alvo, ele pode ativar a conta e obter acesso ao sistema. O problema decorre do endpoint aceitar parâmetros userId arbitrários sem verificar a propriedade. Os cenários de ataque incluem tomada de conta direcionada, enumeração de ID de usuário por força bruta, uso do GraphQL para obter informações de usuário e potencial spam ou assédio por e-mail. O parâmetro userId é recuperado utilizando a função getRequiredBodyParam().

Recomendações Atualize para o Craft CMS versão 5.9.0-beta.2 ou posterior. Atualize para o Craft CMS versão 4.17.0-beta.2 ou posterior.