PT-2026-55266 · Craft Cms · Craft Cms

Cataliniovita-Snyk

+1

·

Publicado

2026-07-02

·

Atualizado

2026-07-02

·

CVE-2026-50282

CVSS v4.0

7.1

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Craft CMS versões 5.0.0-RC1 até 5.9.20 Craft CMS versões 4.0.0-RC1 até 4.17.13
Description Existe um problema de autorização onde a movimentação forçada de uma pasta pode excluir uma pasta de destino conflitante, mesmo que o usuário não possua as permissões de exclusão de destino necessárias. A função craftcontrollersAssetsController::actionMoveFolder() permite mover uma pasta de ativos para uma pasta pai de destino. Quando uma pasta com o mesmo nome já existe no destino, a ação pode ser executada com o parâmetro force definido como true para sobrescrever o destino. O sistema não verifica as permissões deleteAssets no volume de destino ou na pasta conflitante, permitindo a exclusão da pasta de destino e de seu conteúdo. Isso pode causar perda de ativos, referências quebradas em entradas e campos, e interrupção operacional.
Recommendations Atualize o Craft CMS para a versão 5.9.21. Atualize o Craft CMS para a versão 4.17.14.

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-50282
GHSA-3W32-23WJ-RXG3

Produtos afetados

Craft Cms