PT-2026-54780 · Craft Cms · Craft Cms

Cataliniovita-Snyk

+1

·

Publicado

2026-07-01

·

Atualizado

2026-07-02

·

CVE-2026-50283

CVSS v4.0

5.3

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Craft CMS versões 4.0.0-RC1 até 4.17.13 Craft CMS versões 5.0.0-RC1 até 5.9.20
Descrição Existe um problema de autorização na função AssetsController::actionReplaceFile(). O sistema permite a substituição de um arquivo de ativo de destino usando outro ativo existente como fonte. Quando tanto o assetId quanto o sourceAssetId são fornecidos, a verificação de permissão é realizada apenas no ativo de destino, ignorando a verificação de exclusão para o volume do ativo de origem. Consequentemente, um usuário autenticado com permissões de substituição em um volume pode excluir ativos em outro volume onde não possui permissões de exclusão, desde que possua o sourceAssetId. Isso pode resultar em perda de dados e referências de conteúdo quebradas.
Recomendações Atualizar o Craft CMS versões 4.0.0-RC1 até 4.17.13 para a versão 4.17.14. Atualizar o Craft CMS versões 5.0.0-RC1 até 5.9.20 para a versão 5.9.21.

Exploit

Correção

Missing Authorization

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-50283
GHSA-QH45-9G5P-M2V4

Produtos afetados

Craft Cms