प्लेटफ़ॉर्म
php
घटक
craftcms/cms
में ठीक किया गया
4.0.1
5.0.1
4.17.4
CVE-2026-29113 Craft CMS में एक सूचना प्रकटीकरण भेद्यता है। यह भेद्यता हमलावरों को लॉग इन किए हुए पीड़ित संपादक को एक दुर्भावनापूर्ण पूर्वावलोकन टोकन बनाने के लिए मजबूर करने की अनुमति देती है, जिसका उपयोग तब अप्रकाशित सामग्री तक पहुंचने के लिए किया जा सकता है। यह भेद्यता Craft CMS के संस्करणों ≤4.9.7 को प्रभावित करती है। संस्करण 4.17.4 में इस समस्या का समाधान किया गया है।
CVE-2026-29113 का शोषण करने वाला हमलावर लॉग इन किए हुए पीड़ित संपादक के खाते का उपयोग करके अप्रकाशित सामग्री तक पहुंच प्राप्त कर सकता है। हमलावर इस जानकारी का उपयोग संवेदनशील डेटा को उजागर करने, सिस्टम को बदनाम करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए कर सकता है। चूंकि पूर्वावलोकन टोकन बनाने के लिए कोई CSRF सुरक्षा नहीं है, इसलिए हमलावर आसानी से एक पीड़ित संपादक को धोखा देकर टोकन प्राप्त कर सकता है। यह भेद्यता विशेष रूप से उन संगठनों के लिए जोखिम पैदा करती है जो Craft CMS का उपयोग अपनी वेबसाइटों और अनुप्रयोगों को प्रबंधित करने के लिए करते हैं, क्योंकि यह संवेदनशील डेटा के अनधिकृत प्रकटीकरण का कारण बन सकता है।
CVE-2026-29113 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी सार्वजनिक रूप से उपलब्ध प्रकृति के कारण, इसका शोषण होने का खतरा है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो भेद्यता के शोषण की संभावना को बढ़ाते हैं। 2026-03-10 को CVE प्रकाशित किया गया था।
Organizations and individuals utilizing Craft CMS for content management, particularly those with sensitive draft content or a large number of editors with preview access, are at risk. Shared hosting environments where multiple Craft CMS instances reside on the same server could potentially expose multiple sites to this vulnerability if one instance is compromised.
• php: Examine Craft CMS application logs for unusual activity related to the /actions/preview/create-token endpoint. Look for requests originating from unexpected IP addresses or user agents.
grep "/actions/preview/create-token" /path/to/craftcms/app/logs/web.log• generic web: Monitor access logs for requests to /actions/preview/create-token with unusual parameters or originating from unfamiliar sources.
grep "/actions/preview/create-token" /var/log/apache2/access.log• generic web: Check response headers for unexpected content or error codes when accessing /actions/preview/create-token.
curl -I https://your-craftcms-site.com/actions/preview/create-tokendisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (0% शतमक)
CISA SSVC
CVE-2026-29113 के लिए तत्काल शमन उपाय Craft CMS को संस्करण 4.17.4 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /actions/preview/create-token एंडपॉइंट पर अनुरोधों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, यह सुनिश्चित करें कि सभी संपादक पूर्वावलोकन टोकन बनाने के लिए मजबूत पासवर्ड का उपयोग करें और संदिग्ध गतिविधियों के लिए अपने खातों की नियमित रूप से निगरानी करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, पूर्वावलोकन टोकन एंडपॉइंट का परीक्षण करें।
Craft CMS को संस्करण 4.17.4 या उच्चतर, या संस्करण 5.9.7 या उच्चतर में अपडेट करें। यह पूर्वावलोकन टोकन एंडपॉइंट में CSRF भेद्यता को ठीक करता है, जिससे अनधिकृत हमलावरों को अप्रकाशित सामग्री तक पहुंचने से रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-29113 Craft CMS में एक भेद्यता है जो हमलावरों को लॉग इन किए हुए पीड़ित संपादक को धोखा देकर अप्रकाशित सामग्री तक पहुंचने की अनुमति देती है।
यदि आप Craft CMS के संस्करण ≤4.9.7 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Craft CMS को संस्करण 4.17.4 या बाद के संस्करण में अपग्रेड करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन सार्वजनिक PoC के कारण शोषण का खतरा है।
कृपया Craft CMS सुरक्षा सलाहकार देखें: [https://craftcms.com/security/advisories](https://craftcms.com/security/advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।