CVE-2026-32267: Kritische Eskalationslücke in Craft CMS entdeckt
⚠️ CVE-Referenzen:
CVE-2026-32267
Zusammenfassung
Craft CMS Versionen 4.0.0-RC1 bis 4.17.5 und 5.0.0-RC1 bis 5.9.11 weisen eine Sicherheitslücke auf, die es Nutzern mit geringen Rechten oder sogar Unbefugten ermöglicht, ihre Zugriffsrechte auf Administratorstatus zu erhöhen. Das Problem liegt in der fehlerhaften Autorisierung in der UsersController-Methode "actionImpersonateWithToken". Der Patch in Version 4.17.6 und 5.9.12 behebt diesen kritischen Fehler.
Craftcms - Cms - CRITICAL - CVE-2026-32267.
Craft CMS versions 4.0.0-RC1 to 4.17.5 and 5.0.0-RC1 to 5.9.11 contain a vulnerability that allows low-privilege or unauthenticated users, who access shared URLs, to escalate their privileges to admin status. This vulnerability arises from improper authorization in the UsersController's actionImpersonateWithToken method. The issue has been addressed in the latest updates, versions 4.17.6 and 5.9.12.
Quelle: securityvulnerability.io