CVE-2026-56385

Nome do Software Vulnerável e Versões Afetadas Craft CMS versões 5.0.0-RC1 até 5.9.13 Craft CMS versões 4.0.0-RC1 até 4.17.7

Description Existe uma falha de bypass de autorização no endpoint 'assets/preview-file'. O sistema não impõe a autorização de visualização por ativo antes de retornar o conteúdo de visualização. Isso permite que um usuário autenticado de baixo privilégio forneça um assetId controlado para um ativo que não tem permissão para visualizar e ainda assim receba dados de resposta de visualização (previewHtml), incluindo uma rota de imagem de visualização privada contendo o assetId privado do alvo.

Recommendations Atualizar o Craft CMS versões 5.0.0-RC1 até 5.9.13 para a versão 5.9.14. Atualizar o Craft CMS versões 4.0.0-RC1 até 4.17.7 para a versão 4.17.8. Como medida paliativa temporária, restrinja o acesso ao endpoint 'assets/preview-file' apenas a usuários autorizados.