Plateforme
nodejs
Composant
@delmaredigital/payload-puck
Corrigé dans
0.6.24
0.6.23
La vulnérabilité CVE-2026-39397 affecte le composant @delmaredigital/payload-puck, permettant un contournement des contrôles d'accès sur les points de terminaison CRUD /api/puck/*. Cette faille permet à un attaquant non authentifié de manipuler les données, y compris la lecture et la modification de documents sensibles. Les versions concernées sont celles antérieures à 0.6.23, et une correction est disponible.
La vulnérabilité CVE-2026-39397 dans @delmaredigital/payload-puck permet à un attaquant non authentifié d'accéder à des données sensibles au sein d'un système Payload. Plus précisément, les gestionnaires CRUD (Créer, Lire, Mettre à jour, Supprimer) pour les points de terminaison /api/puck/* enregistrés par createPuckPlugin() effectuaient des appels à l'API locale de Payload avec overrideAccess: true, ignorant ainsi tout contrôle d'accès au niveau de la collection. Cela signifie qu'un attaquant pourrait répertorier tous les documents, y compris les brouillons, et lire n'importe quel document dans n'importe quelle collection enregistrée dans Puck, sans authentification ni autorisation.
Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite pas d'authentification. Un attaquant pourrait l'exploiter simplement en envoyant des requêtes HTTP aux points de terminaison /api/puck/* sans fournir d'identifiants. La facilité d'exploitation, combinée au potentiel d'accès à des données confidentielles, fait de cette vulnérabilité une priorité élevée pour sa correction. L'absence de validation d'accès sur les points de terminaison Puck expose les informations à toute personne ayant accès au réseau sur lequel Payload est exécuté.
Organizations utilizing Payload CMS with the @delmaredigital/payload-puck plugin are at risk, particularly those with less stringent security practices or those relying on the plugin for critical data management. Shared hosting environments where Payload CMS is deployed could also be affected, as the vulnerability could be exploited through a compromised instance.
• nodejs / server:
npm list @delmaredigital/payload-puckIf the version is less than 0.6.23, the system is vulnerable. • nodejs / server:
grep -r 'overrideAccess: true' ./node_modules/@delmaredigital/payload-puck/This searches for the vulnerable configuration setting within the plugin's code.
• generic web:
Check Payload CMS API endpoints (e.g., /api/puck/collections) for unauthorized access. Monitor access logs for unusual activity.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité consiste à mettre à jour le plugin @delmaredigital/payload-puck à la version 0.6.23 ou supérieure. Cette version corrige le problème en garantissant que les contrôles d'accès au niveau de la collection sont correctement appliqués aux points de terminaison /api/puck/*. Il est recommandé d'appliquer cette mise à jour dès que possible afin d'atténuer le risque d'accès non autorisé aux données. De plus, examinez la configuration de vos collections Puck pour vous assurer que les règles d'accès sont correctement définies et reflètent vos politiques de sécurité souhaitées.
Actualice el plugin payload-puck a la versión 0.6.23 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en los endpoints CRUD de /api/puck/*, asegurando que se apliquen los controles de acceso a nivel de colección.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Payload est un CMS headless open source qui permet aux développeurs de créer et de gérer du contenu pour des sites web et des applications.
CRUD est l'acronyme de Créer, Lire, Mettre à jour et Supprimer, les opérations de base effectuées sur les données dans une base de données.
Si vous utilisez le plugin @delmaredigital/payload-puck et que vous n'êtes pas à la version 0.6.23 ou supérieure, vous êtes probablement affecté.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de restreindre l'accès aux points de terminaison /api/puck/* aux utilisateurs autorisés.
Vous pouvez trouver plus d'informations sur la vulnérabilité dans l'avis de sécurité de Payload et sur la page GitHub du plugin.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.