PT-2026-34005 · October · October
Publicado
2026-04-21
·
Atualizado
2026-04-28
·
CVE-2026-29179
CVSS v3.1
3.3
Baixa
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N |
Name of the Vulnerable Software and Affected Versions
October versões anteriores a 3.7.16
October versões anteriores a 4.1.16
Description
Verificações de subpermissões detalhadas para operações de arquivos de assets e blueprints não eram aplicadas nas extensões do editor CMS e Tailor. Isso permite que usuários de backend que possuem acesso de editor, mas têm as permissões
editor.cms assets ou editor.tailor blueprints especificamente negadas, realizem operações de arquivos, como criar, excluir, renomear, mover e carregar assets de tema ou arquivos de blueprint. Além disso, um erro de precedência de operador na navegação do Tailor expõe a árvore de diretórios de blueprints do tema sob as mesmas condições.Recommendations
Atualizar para a versão 3.7.16.
Atualizar para a versão 4.1.16.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
October