@delmaredigital/payload-puck est dépourvu d'autorisation sur les points de terminaison CRUD /api/puck/*, permettant un accès non authentifié aux collections enregistrées par Puck
Plateforme
nodejs
Composant
@delmaredigital/payload-puck
Corrigé dans
0.6.24
0.6.23
La vulnérabilité CVE-2026-39397 affecte le composant @delmaredigital/payload-puck, permettant un contournement des contrôles d'accès sur les points de terminaison CRUD /api/puck/*. Cette faille permet à un attaquant non authentifié de manipuler les données, y compris la lecture et la modification de documents sensibles. Les versions concernées sont celles antérieures à 0.6.23, et une correction est disponible.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-39397 dans @delmaredigital/payload-puck permet à un attaquant non authentifié d'accéder à des données sensibles au sein d'un système Payload. Plus précisément, les gestionnaires CRUD (Créer, Lire, Mettre à jour, Supprimer) pour les points de terminaison /api/puck/* enregistrés par createPuckPlugin() effectuaient des appels à l'API locale de Payload avec overrideAccess: true, ignorant ainsi tout contrôle d'accès au niveau de la collection. Cela signifie qu'un attaquant pourrait répertorier tous les documents, y compris les brouillons, et lire n'importe quel document dans n'importe quelle collection enregistrée dans Puck, sans authentification ni autorisation.
Contexte d'Exploitation
Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite pas d'authentification. Un attaquant pourrait l'exploiter simplement en envoyant des requêtes HTTP aux points de terminaison /api/puck/* sans fournir d'identifiants. La facilité d'exploitation, combinée au potentiel d'accès à des données confidentielles, fait de cette vulnérabilité une priorité élevée pour sa correction. L'absence de validation d'accès sur les points de terminaison Puck expose les informations à toute personne ayant accès au réseau sur lequel Payload est exécuté.
Qui Est à Risquetraduction en cours…
Organizations utilizing Payload CMS with the @delmaredigital/payload-puck plugin are at risk, particularly those with less stringent security practices or those relying on the plugin for critical data management. Shared hosting environments where Payload CMS is deployed could also be affected, as the vulnerability could be exploited through a compromised instance.
Étapes de Détectiontraduction en cours…
• nodejs / server:
npm list @delmaredigital/payload-puckIf the version is less than 0.6.23, the system is vulnerable. • nodejs / server:
grep -r 'overrideAccess: true' ./node_modules/@delmaredigital/payload-puck/This searches for the vulnerable configuration setting within the plugin's code.
• generic web:
Check Payload CMS API endpoints (e.g., /api/puck/collections) for unauthorized access. Monitor access logs for unusual activity.
Chronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- EPSS mis à jour
Mitigation et Contournements
La solution à cette vulnérabilité consiste à mettre à jour le plugin @delmaredigital/payload-puck à la version 0.6.23 ou supérieure. Cette version corrige le problème en garantissant que les contrôles d'accès au niveau de la collection sont correctement appliqués aux points de terminaison /api/puck/*. Il est recommandé d'appliquer cette mise à jour dès que possible afin d'atténuer le risque d'accès non autorisé aux données. De plus, examinez la configuration de vos collections Puck pour vous assurer que les règles d'accès sont correctement définies et reflètent vos politiques de sécurité souhaitées.
Comment corrigertraduction en cours…
Actualice el plugin payload-puck a la versión 0.6.23 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en los endpoints CRUD de /api/puck/*, asegurando que se apliquen los controles de acceso a nivel de colección.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-39397 dans @delmaredigital/payload-puck ?
Payload est un CMS headless open source qui permet aux développeurs de créer et de gérer du contenu pour des sites web et des applications.
Suis-je affecté(e) par CVE-2026-39397 dans @delmaredigital/payload-puck ?
CRUD est l'acronyme de Créer, Lire, Mettre à jour et Supprimer, les opérations de base effectuées sur les données dans une base de données.
Comment corriger CVE-2026-39397 dans @delmaredigital/payload-puck ?
Si vous utilisez le plugin @delmaredigital/payload-puck et que vous n'êtes pas à la version 0.6.23 ou supérieure, vous êtes probablement affecté.
CVE-2026-39397 est-il activement exploité ?
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de restreindre l'accès aux points de terminaison /api/puck/* aux utilisateurs autorisés.
Où trouver l'avis officiel de @delmaredigital/payload-puck pour CVE-2026-39397 ?
Vous pouvez trouver plus d'informations sur la vulnérabilité dans l'avis de sécurité de Payload et sur la page GitHub du plugin.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.