प्लेटफ़ॉर्म
nodejs
घटक
@delmaredigital/payload-puck
में ठीक किया गया
0.6.24
0.6.23
CVE-2026-39397 is a critical remote code execution (RCE) vulnerability affecting the @delmaredigital/payload-puck Node.js package. This flaw allows unauthenticated attackers to bypass access controls within Payload CMS, enabling them to manipulate data within Puck-registered collections. Affected versions are those prior to 0.6.23; upgrading to the patched version is essential to mitigate this risk.
CVE-2026-39397 @delmaredigital/payload-puck में एक अनधिकृत हमलावर को Payload सिस्टम के भीतर संवेदनशील डेटा तक पहुंचने की अनुमति देता है। विशेष रूप से, createPuckPlugin() द्वारा पंजीकृत /api/puck/* एंडपॉइंट के लिए CRUD (Create, Read, Update, Delete) हैंडलर ने overrideAccess: true के साथ Payload के स्थानीय API को कॉल किया, प्रभावी रूप से संग्रह-स्तरीय एक्सेस नियंत्रण को अनदेखा कर दिया। इसका मतलब है कि एक हमलावर बिना प्रमाणीकरण या प्राधिकरण के किसी भी Puck-पंजीकृत संग्रह में सभी दस्तावेज़ों (ड्राफ्ट सहित) को सूचीबद्ध कर सकता है और किसी भी दस्तावेज़ को पढ़ सकता है।
यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि इसके लिए प्रमाणीकरण की आवश्यकता नहीं होती है। एक हमलावर बस /api/puck/* एंडपॉइंट पर HTTP अनुरोध भेजकर इसका फायदा उठा सकता है, बिना कोई क्रेडेंशियल प्रदान किए। शोषण में आसानी, गोपनीय डेटा तक पहुंचने की क्षमता के साथ मिलकर, इस भेद्यता को सुधारने के लिए उच्च प्राथमिकता बनाता है। Puck एंडपॉइंट पर एक्सेस सत्यापन की कमी उन सभी लोगों को जानकारी उजागर करती है जिनके पास Payload चल रहे नेटवर्क तक पहुंच है।
Organizations utilizing Payload CMS with the @delmaredigital/payload-puck plugin are at risk, particularly those with less stringent security practices or those relying on the plugin for critical data management. Shared hosting environments where Payload CMS is deployed could also be affected, as the vulnerability could be exploited through a compromised instance.
• nodejs / server:
npm list @delmaredigital/payload-puckIf the version is less than 0.6.23, the system is vulnerable. • nodejs / server:
grep -r 'overrideAccess: true' ./node_modules/@delmaredigital/payload-puck/This searches for the vulnerable configuration setting within the plugin's code.
• generic web:
Check Payload CMS API endpoints (e.g., /api/puck/collections) for unauthorized access. Monitor access logs for unusual activity.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान @delmaredigital/payload-puck प्लगइन को संस्करण 0.6.23 या उच्चतर में अपडेट करना है। यह संस्करण /api/puck/* एंडपॉइंट पर संग्रह-स्तरीय एक्सेस नियंत्रण को सही ढंग से लागू करके इस मुद्दे को ठीक करता है। अनधिकृत डेटा एक्सेस के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, अपने Puck संग्रह कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि एक्सेस नियम सही ढंग से परिभाषित हैं और आपके इच्छित सुरक्षा नीतियों को दर्शाते हैं।
Actualice el plugin payload-puck a la versión 0.6.23 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en los endpoints CRUD de /api/puck/*, asegurando que se apliquen los controles de acceso a nivel de colección.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Payload एक ओपन-सोर्स हेडलेस CMS है जो डेवलपर्स को वेबसाइटों और अनुप्रयोगों के लिए सामग्री बनाने और प्रबंधित करने की अनुमति देता है।
CRUD का मतलब है Create (बनाना), Read (पढ़ना), Update (अपडेट करना) और Delete (हटाना), जो डेटाबेस में डेटा पर किए जाने वाले बुनियादी ऑपरेशन हैं।
यदि आप @delmaredigital/payload-puck प्लगइन का उपयोग कर रहे हैं और संस्करण 0.6.23 या उच्चतर पर नहीं हैं, तो आप संभवतः प्रभावित हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो /api/puck/* एंडपॉइंट तक पहुंच को केवल अधिकृत उपयोगकर्ताओं तक सीमित करने पर विचार करें।
आप Payload सुरक्षा सलाहकार और प्लगइन के GitHub पृष्ठ पर इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।