CVE-2026-25544

Nome do Software Vulnerável e Versões Afetadas Versões do Payload anteriores a 3.73.0

Descrição O Payload é um sistema de gerenciamento de conteúdo headless gratuito e de código aberto. Antes da versão 3.73.0, a entrada do usuário era incorporada diretamente em consultas SQL sem o devido escape ao consultar campos JSON ou richText, resultando em ataques de injeção de SQL blind. Um atacante não autenticado poderia potencialmente extrair dados sensíveis, como e-mails e tokens de redefinição de senha, e assumir o controle total da conta sem precisar quebrar senhas. Este problema afeta usuários que utilizam adaptadores de banco de dados baseados em Drizzle (dependência @payloadcms/drizzle) – @payloadcms/db-postgres, @payloadcms/db-vercel-postgres, @payloadcms/db-sqlite e @payloadcms/db-d1-sqlite – e possuem coleções acessíveis com campos type: 'json' ou type: 'richText' onde access.read não está definido como false. A vulnerabilidade não afeta usuários que utilizam @payloadcms/db-mongodb.

Recomendações Atualize para a versão 3.73.0 ou posterior do Payload. Se uma atualização imediata não for possível, adicione access: { read: () => false } a todos os campos JSON e richText como uma mitigação temporária.