PT-2026-54781 · Craft Cms · Craft Cms

Offset

·

Publicado

2026-07-01

·

Atualizado

2026-07-02

·

CVE-2026-50284

CVSS v4.0

7.1

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:L/SA:N
Nome do Software Vulnerável e Versões Afetadas Craft CMS versões 4.0.0-RC1 through 4.17.14 Craft CMS versões 5.0.0-RC1 through 5.9.21
Description Existe um problema na função AssetsController::actionDeleteFolder() onde o sistema verifica apenas a permissão deleteAssets:<volume-uid> para a pasta de destino. Ele não aplica a permissão deletePeerAssets:<volume-uid>, embora a função Assets::deleteFoldersByIds() realize a exclusão em cascata de todas as pastas e ativos descendentes, independentemente dos privilégios do usuário que fez o upload. Consequentemente, um usuário com baixos privilégios que possua direitos de gerenciamento de pastas em um volume compartilhado pode excluir ativos enviados por outros usuários, ignorando as verificações de permissão de pares implementadas no endpoint actionDeleteAsset.
Recommendations Atualizar para a versão 4.17.15 Atualizar para a versão 5.9.22

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-50284

Produtos afetados

Craft Cms