CVE-2026-41128

Name of the Vulnerable Software and Affected Versions Craft CMS versões 5.6.0 até 5.9.14

Description O endpoint 'actionSavePermissions()' permite que um usuário com apenas a permissão viewUsers remova usuários arbitrários de todos os grupos de usuários. Isso ocorre porque a função saveUserGroups() impõe a autorização para adicionar usuários a grupos, mas não realiza uma verificação de autorização equivalente para remoções. Consequentemente, o envio de um valor groups vazio resulta na remoção de todas as associações de grupo existentes.

Recommendations Atualizar para a versão 5.9.15.