PT-2026-54780 · Craft Cms · Craft Cms
Cataliniovita-Snyk
+1
·
Publicado
2026-07-01
·
Atualizado
2026-07-02
·
CVE-2026-50283
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Craft CMS versões 4.0.0-RC1 até 4.17.13
Craft CMS versões 5.0.0-RC1 até 5.9.20
Descrição
Existe um problema de autorização na função
AssetsController::actionReplaceFile(). O sistema permite a substituição de um arquivo de ativo de destino usando outro ativo existente como fonte. Quando tanto o assetId quanto o sourceAssetId são fornecidos, a verificação de permissão é realizada apenas no ativo de destino, ignorando a verificação de exclusão para o volume do ativo de origem. Consequentemente, um usuário autenticado com permissões de substituição em um volume pode excluir ativos em outro volume onde não possui permissões de exclusão, desde que possua o sourceAssetId. Isso pode resultar em perda de dados e referências de conteúdo quebradas.Recomendações
Atualizar o Craft CMS versões 4.0.0-RC1 até 4.17.13 para a versão 4.17.14.
Atualizar o Craft CMS versões 5.0.0-RC1 até 5.9.20 para a versão 5.9.21.
Exploit
Correção
Missing Authorization
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Craft Cms