PT-2026-54781 · Craft Cms · Craft Cms
Offset
·
Publicado
2026-07-01
·
Atualizado
2026-07-02
·
CVE-2026-50284
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Craft CMS versões 4.0.0-RC1 through 4.17.14
Craft CMS versões 5.0.0-RC1 through 5.9.21
Description
Existe um problema na função
AssetsController::actionDeleteFolder() onde o sistema verifica apenas a permissão deleteAssets:<volume-uid> para a pasta de destino. Ele não aplica a permissão deletePeerAssets:<volume-uid>, embora a função Assets::deleteFoldersByIds() realize a exclusão em cascata de todas as pastas e ativos descendentes, independentemente dos privilégios do usuário que fez o upload. Consequentemente, um usuário com baixos privilégios que possua direitos de gerenciamento de pastas em um volume compartilhado pode excluir ativos enviados por outros usuários, ignorando as verificações de permissão de pares implementadas no endpoint actionDeleteAsset.Recommendations
Atualizar para a versão 4.17.15
Atualizar para a versão 5.9.22
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Craft Cms