CVE-2026-44012

Nome do Software Vulnerável e Versões Afetadas Craft CMS versões 5.0.0-RC1 até 5.9.17

Descrição A função actionShowInFolder() no AssetsController recupera um ativo por ID e retorna seu nome de arquivo e a hierarquia completa de pastas, incluindo o identificador do volume (handle), UID do volume, nomes de pastas, UIDs de pastas e caminhos URI de pastas. Esse processo ocorre sem verificar se o usuário solicitante possui as permissões viewAssets ou viewPeerAssets no volume do ativo. Consequentemente, qualquer usuário autenticado do painel de controle, independentemente de suas permissões de volume, pode enumerar nomes de arquivos de ativos e a estrutura completa de pastas de qualquer volume ao fornecer IDs de ativos arbitrários. Essa exposição inclui dados estruturais sensíveis, como repositórios de documentos privados e mídias confidenciais, o que pode facilitar ataques direcionados subsequentes para a exfiltração de arquivos.

Recomendações Atualize para a versão 5.9.18. Como medida paliativa temporária, restrinja o acesso à função actionShowInFolder() no AssetsController para minimizar o risco de enumeração não autorizada de dados.