CVE-2026-33161Craft CMS 在特定版本中存在信息泄露漏洞。由于未对资源进行严格的授权验证,低权限的认证用户可以通过调用 `assets/image-editor` 端点并传入私有资源的ID,成功绕过访问限制。这使得攻击者能够获取本无权查看的私有资产的编辑元数据,包括焦点位置等敏感信息。该漏洞影响 4.x 和 5.x 多个版本。
该漏洞的根源在于 Craft CMS 后端的权限校验逻辑存在缺陷。具体而言,`assets/image-editor` 端点在设计时假设了请求者拥有目标资源的访问权限,或者仅仅依赖会话认证而忽略了对特定对象ID的访问控制列表(ACL)检查。在受影响的版本中,系统接收请求后直接根据提供的 Asset ID 查询数据库并返回编辑元数据(如 focalPoint)。攻击者首先需要获取一个低权限的合法账户,然后通过网络向目标系统发送特制的 HTTP 请求。由于缺乏对象级别的授权验证,即使该账户无权查看该私有资产,服务器仍会响应包含敏感信息的 JSON 数据。这种 IDOR 漏洞允许攻击者通过遍历 ID 获取大量私有资源的元数据,虽然未直接导致文件下载,但泄露了资产的存在性及编辑参数,构成了隐私风险。