CVE-2026-25497

Nome do Software Vulnerável e Versões Afetadas Craft versões 4.0.0-RC1 até 4.17.0-beta.1 Craft versão 5.9.0-beta.1

Descrição O Craft é uma plataforma para criação de experiências digitais. Existe uma vulnerabilidade de elevação de privilégios na API GraphQL. Um usuário autenticado com acesso de escrita a um volume de ativos pode elevar seus privilégios e modificar ou transferir ativos pertencentes a qualquer outro volume, incluindo volumes restritos ou privados. A mutação saveAsset do GraphQL valida a autorização contra o volume resolvido pelo esquema, mas busca o ativo de destino pelo ID sem verificar se o ativo pertence ao volume autorizado, permitindo modificação e transferência não autorizadas de ativos entre volumes.

Recomendações Atualize para a versão 4.17.0-beta.1 do Craft ou posterior. Atualize para a versão 5.9.0-beta.1 do Craft ou posterior.