@delmaredigital/payload-puc carece de autorización en los endpoints CRUD de /api/puck/* permite el acceso no autenticado a las colecciones registradas en Puck
Plataforma
nodejs
Componente
@delmaredigital/payload-puck
Corregido en
0.6.24
0.6.23
La vulnerabilidad CVE-2026-39397 afecta al paquete Node.js @delmaredigital/payload-puck, permitiendo a atacantes no autenticados eludir los controles de acceso y manipular datos sensibles. Esta falla se debe a una configuración incorrecta en los manejadores de endpoints CRUD de /api/puck/*, que ignoran las reglas de acceso definidas. La vulnerabilidad afecta a versiones anteriores a 0.6.23 y ha sido publicada el 8 de abril de 2026. Se recomienda actualizar inmediatamente a la versión corregida.
Impacto y Escenarios de Ataque
Esta vulnerabilidad presenta un riesgo crítico, ya que permite a un atacante no autenticado acceder y modificar datos confidenciales dentro del sistema Payload. Específicamente, pueden listar todos los documentos, incluyendo borradores, leer documentos por su ID, crear nuevos documentos con valores arbitrarios y actualizar documentos existentes. El impacto potencial incluye la manipulación de contenido, la fuga de información sensible y la posible toma de control del sistema. La falta de validación de los controles de acceso en los endpoints CRUD facilita la explotación, permitiendo a atacantes eludir las protecciones implementadas para las colecciones de datos.
Contexto de Explotación
La vulnerabilidad CVE-2026-39397 fue publicada el 8 de abril de 2026. No se ha añadido a KEV ni se conoce un EPSS score. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (bypass de controles de acceso) la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
Quién Está en Riesgotraduciendo…
Organizations utilizing Payload CMS with the @delmaredigital/payload-puck plugin are at risk, particularly those with less stringent security practices or those relying on the plugin for critical data management. Shared hosting environments where Payload CMS is deployed could also be affected, as the vulnerability could be exploited through a compromised instance.
Pasos de Deteccióntraduciendo…
• nodejs / server:
npm list @delmaredigital/payload-puckIf the version is less than 0.6.23, the system is vulnerable. • nodejs / server:
grep -r 'overrideAccess: true' ./node_modules/@delmaredigital/payload-puck/This searches for the vulnerable configuration setting within the plugin's code.
• generic web:
Check Payload CMS API endpoints (e.g., /api/puck/collections) for unauthorized access. Monitor access logs for unusual activity.
Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Bajo — denegación de servicio parcial o intermitente.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2026-39397 es actualizar el paquete @delmaredigital/payload-puck a la versión 0.6.23 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una reversión a una versión anterior conocida como estable, mientras se investiga la causa del conflicto. Además, revise la configuración de Payload para asegurar que las reglas de acceso estén correctamente definidas y aplicadas a todas las colecciones. No hay firmas Sigma o YARA aplicables directamente a esta vulnerabilidad, pero monitorear el acceso no autorizado a los endpoints /api/puck/* es crucial. Después de la actualización, confirme la corrección verificando que los controles de acceso se apliquen correctamente a los endpoints CRUD.
Cómo corregirlo
Actualice el plugin payload-puck a la versión 0.6.23 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en los endpoints CRUD de /api/puck/*, asegurando que se apliquen los controles de acceso a nivel de colección.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2026-39397 — RCE in @delmaredigital/payload-puck?
CVE-2026-39397 is a critical remote code execution vulnerability in the @delmaredigital/payload-puck Node.js package for Payload CMS, allowing unauthenticated attackers to bypass access controls and manipulate data.
Am I affected by CVE-2026-39397 in @delmaredigital/payload-puck?
You are affected if you are using @delmaredigital/payload-puck versions prior to 0.6.23 and are running a Payload CMS instance.
How do I fix CVE-2026-39397 in @delmaredigital/payload-puck?
Upgrade to @delmaredigital/payload-puck version 0.6.23 or later. If immediate upgrade is not possible, temporarily disable the Puck plugin.
Is CVE-2026-39397 being actively exploited?
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of future exploitation.
Where can I find the official @delmaredigital/payload-puck advisory for CVE-2026-39397?
Refer to the Payload CMS official security advisory and the @delmaredigital/payload-puck repository for updates and further information.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.