Plattform
nodejs
Komponente
@delmaredigital/payload-puck
Behoben in
0.6.24
0.6.23
CVE-2026-39397 is a critical remote code execution (RCE) vulnerability affecting the @delmaredigital/payload-puck Node.js package. This flaw allows unauthenticated attackers to bypass access controls within Payload CMS, enabling them to manipulate data within Puck-registered collections. Affected versions are those prior to 0.6.23; upgrading to the patched version is essential to mitigate this risk.
Die CVE-2026-39397 in @delmaredigital/payload-puck ermöglicht einem nicht authentifizierten Angreifer, auf sensible Daten innerhalb eines Payload-Systems zuzugreifen. Insbesondere riefen die CRUD-Handler (Create, Read, Update, Delete) für die /api/puck/*-Endpunkte, die von createPuckPlugin() registriert wurden, die lokale Payload-API mit overrideAccess: true auf, wodurch jegliche Zugriffskontrollen auf Collection-Ebene effektiv ignoriert wurden. Dies bedeutet, dass ein Angreifer alle Dokumente, einschließlich Entwürfe, auflisten und jedes Dokument in jeder in Puck registrierten Collection lesen kann, ohne Authentifizierung oder Autorisierung.
Diese Schwachstelle ist besonders besorgniserregend, da sie keine Authentifizierung erfordert. Ein Angreifer könnte sie ausnutzen, indem er einfach HTTP-Anfragen an die /api/puck/*-Endpunkte sendet, ohne Anmeldeinformationen anzugeben. Die einfache Ausnutzbarkeit in Kombination mit dem Potenzial für den Zugriff auf vertrauliche Daten macht diese Schwachstelle zu einer hochprioritären Aufgabe für die Behebung. Das Fehlen einer Zugriffvalidierung auf Puck-Endpunkten setzt die Informationen Personen aus, die Zugriff auf das Netzwerk haben, auf dem Payload ausgeführt wird.
Organizations utilizing Payload CMS with the @delmaredigital/payload-puck plugin are at risk, particularly those with less stringent security practices or those relying on the plugin for critical data management. Shared hosting environments where Payload CMS is deployed could also be affected, as the vulnerability could be exploited through a compromised instance.
• nodejs / server:
npm list @delmaredigital/payload-puckIf the version is less than 0.6.23, the system is vulnerable. • nodejs / server:
grep -r 'overrideAccess: true' ./node_modules/@delmaredigital/payload-puck/This searches for the vulnerable configuration setting within the plugin's code.
• generic web:
Check Payload CMS API endpoints (e.g., /api/puck/collections) for unauthorized access. Monitor access logs for unusual activity.
disclosure
Exploit-Status
EPSS
0.05% (15% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, das @delmaredigital/payload-puck-Plugin auf Version 0.6.23 oder höher zu aktualisieren. Diese Version behebt das Problem, indem sichergestellt wird, dass Zugriffskontrollen auf Collection-Ebene korrekt auf die /api/puck/*-Endpunkte angewendet werden. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko eines unbefugten Datenzugriffs zu mindern. Überprüfen Sie außerdem die Konfigurationen Ihrer Puck-Collections, um sicherzustellen, dass die Zugriffregeln korrekt definiert sind und Ihre gewünschten Sicherheitsrichtlinien widerspiegeln.
Actualice el plugin payload-puck a la versión 0.6.23 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en los endpoints CRUD de /api/puck/*, asegurando que se apliquen los controles de acceso a nivel de colección.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Payload ist ein Open-Source-Headless-CMS, mit dem Entwickler Inhalte für Websites und Anwendungen erstellen und verwalten können.
CRUD steht für Create, Read, Update und Delete, die grundlegenden Operationen, die auf Daten in einer Datenbank ausgeführt werden.
Wenn Sie das @delmaredigital/payload-puck-Plugin verwenden und nicht auf Version 0.6.23 oder höher aktualisiert haben, sind Sie wahrscheinlich betroffen.
Wenn Sie nicht sofort aktualisieren können, sollten Sie den Zugriff auf die /api/puck/*-Endpunkte auf autorisierte Benutzer beschränken.
Sie finden weitere Informationen zu dieser Schwachstelle in der Payload-Sicherheitsmitteilung und auf der GitHub-Seite des Plugins.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.