CVE-2026-32262 Craftcms — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,3 (MEDIUM)
Уязвимые версии	4.0.0.1 — 5.9.11
Устранено в версии	4.17.5
Тип уязвимости	CWE-22 (Обход пути)
Поставщик	Craftcms
Публичный эксплойт	Нет

Craft CMS — это система управления контентом (CMS). Начиная с версии 4.0.0-RC1 до версии 4.17.5 и до версии 5.0.0-RC1 до версии 5.9.11, метод AssetsController->replaceFile() имеет параметр тела targetFilename, который используется в необработанном виде в вызове deleteFile() перед применением Assets::prepareAssetName() при сохранении. Это позволяет аутентифицированному пользователю с разрешением replaceFiles удалять произвольные файлы в одном и том же корне файловой системы, вводя последовательности обхода пути ../ в имя файла.

Это может позволить аутентифицированному пользователю с разрешением replaceFiles на одном томе удалять файлы в других папках/томах, которые имеют один и тот же корень файловой системы. Это влияет только на локальные файловые системы. Эта проблема исправлена в версиях 4.17.5 и 5.9.11.

Показать оригинальное описание (EN)

Craft CMS is a content management system (CMS). From version 4.0.0-RC1 to before version 4.17.5 and from version 5.0.0-RC1 to before version 5.9.11, the AssetsController->replaceFile() method has a targetFilename body parameter that is used unsanitized in a deleteFile() call before Assets::prepareAssetName() is applied on save. This allows an authenticated user with replaceFiles permission to delete arbitrary files within the same filesystem root by injecting ../ path traversal sequences into the filename. This could allow an authenticated user with replaceFiles permission on one volume to delete files in other folders/volumes that share the same filesystem root. This only affects local filesystems. This issue has been patched in versions 4.17.5 and 5.9.11.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Нет

Нет модификации данных

Доступность

Низкое

Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-22 Path Traversal (Обход пути)

Уязвимые продукты 8

Конфигурация	От (включительно)	До (исключительно)
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms::::::::	`4.0.0.1`	`4.17.5`
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms::::::::	`5.0.1`	`5.9.11`
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:-::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:rc1::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:rc2::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:rc3::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:5.0.0:-::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:5.0.0:rc1::::::	—	—