CVE-2026-39397

Name of the Vulnerable Software and Affected Versions @delmaredigital/payload-puck versões anteriores a 0.6.23

Description O plugin @delmaredigital/payload-puck para PayloadCMS, uma integração de construtor de páginas visual, apresentava um problema crítico onde o controle de acesso era ignorado. Especificamente, todos os manipuladores de endpoints CRUD registrados por createPuckPlugin() chamavam a API local do Payload com overrideAccess: true, ignorando os controles de acesso de nível de coleção. A opção access passada para createPuckPlugin() e quaisquer regras de acesso definidas em coleções registradas no Puck também eram ignoradas nesses endpoints.

Recommendations Atualize para a versão 0.6.23 ou posterior.