anonhaven

CVE-2026-29069

MEDIUM CVSS 4.0: 6,9 EPSS 0.05%
Обновлено 5 марта 2026
Craftcms
Параметр Значение
CVSS 6,9 (MEDIUM)
Уязвимые версии до 5.9.0
Устранено в версии 5.9.0
Тип уязвимости CWE-639 (Обход авторизации)
Поставщик Craftcms
Публичный эксплойт Нет

Craft — это система управления контентом (CMS). До версий 5.9.0-beta.2 и 4.17.0-beta.2 конечная точка actionSendActivationEmail() доступна неаутентифицированным пользователям и не требует проверки разрешений для ожидающих пользователей. Злоумышленник, не имеющий предварительного доступа, может инициировать электронное письмо с активацией для любой ожидающей учетной записи пользователя, зная или угадав идентификатор пользователя.

Если злоумышленник контролирует адрес электронной почты целевого пользователя, он может активировать учетную запись и получить доступ к системе. Эта уязвимость исправлена ​​в версиях 5.9.0-beta.2 и 4.17.0-beta.2.

Показать оригинальное описание (EN)

Craft is a content management system (CMS). Prior to 5.9.0-beta.2 and 4.17.0-beta.2, the actionSendActivationEmail() endpoint is accessible to unauthenticated users and does not require a permission check for pending users. An attacker with no prior access can trigger activation emails for any pending user account by knowing or guessing the user ID. If the attacker controls the target user’s email address, they can activate the account and gain access to the system. This vulnerability is fixed in 5.9.0-beta.2 and 4.17.0-beta.2.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-639 Authorization Bypass (Обход авторизации)

Уязвимые продукты 10

Конфигурация От (включительно) До (исключительно)
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*
 > 4.0.0 4.17.0
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*
 > 5.0.0 5.9.0
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:-:*:*:*:*:*:*
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:rc1:*:*:*:*:*:*
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:rc2:*:*:*:*:*:*
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:rc3:*:*:*:*:*:*
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.17.0:beta1:*:*:*:*:*:*
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:5.0.0:-:*:*:*:*:*:*
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:5.0.0:rc1:*:*:*:*:*:*
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:5.9.0:beta1:*:*:*:*:*:*

Ссылки 2

https://github.com/craftcms/cms/commit/c3d02d4a7246f516933f42106c0a67ce062f68d8
security-advisories@github.com
https://github.com/craftcms/cms/security/advisories/GHSA-234q-vvw3-mrfq
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33162

Craftcms

4,9

CVE-2026-33161

Craftcms

1,3

CVE-2026-33160

Craftcms

2,7

CVE-2026-33159

Craftcms

6,9

CVE-2026-33158

Craftcms

4,9