CVE-2026-29113

Nome do Software Vulnerável e Versões Afetadas Versões do Craft anteriores a 4.17.4 Versões do Craft anteriores a 5.9.7

Descrição O Craft CMS apresenta uma vulnerabilidade de Falsificação de Requisição Entre Sites (CSRF) no endpoint do token de visualização. O endpoint, localizado em /actions/preview/create-token, aceita um previewToken fornecido pelo atacante. A ação não requer uma requisição POST e não exige um token CSRF, permitindo que um atacante force um editor autenticado a gerar um token de visualização escolhido pelo atacante. Esse token pode então ser usado pelo atacante, sem autenticação, para acessar conteúdo visualizado ou não publicado autorizado para o escopo de visualização da vítima.

Recomendações Atualize para a versão 4.17.4 do Craft ou posterior. Atualize para a versão 5.9.7 do Craft ou posterior.