@delmaredigital/payload-puck は /api/puck/* CRUD エンドポイントで認証を省略し、認証されていないアクセスを Puck-登録コレクションに許可します
プラットフォーム
nodejs
コンポーネント
@delmaredigital/payload-puck
修正版
0.6.24
0.6.23
CVE-2026-39397 は、@delmaredigital/payload-puck の createPuckPlugin() によって登録された /api/puck/* CRUD エンドポイントにおけるアクセス制御の脆弱性です。この脆弱性により、攻撃者はコレクションレベルのアクセス制御をバイパスし、ドキュメントのリスト、読み取り、作成、更新が可能になります。影響を受けるバージョンは @delmaredigital/payload-puck の 0.6.23 以前です。0.6.23 でこの問題は修正されました。
影響と攻撃シナリオ
CVE-2026-39397 は、@delmaredigital/payload-puck において、認証されていない攻撃者が Payload システム内の機密データにアクセスすることを可能にします。具体的には、createPuckPlugin() によって登録された /api/puck/* エンドポイントの CRUD (Create, Read, Update, Delete) ハンドラが、overrideAccess: true を指定して Payload のローカル API を呼び出し、コレクションレベルのアクセス制御を効果的に無視していました。これにより、攻撃者は認証や承認なしに、Puck に登録されたすべてのコレクション内のすべてのドキュメント (ドラフトを含む) を一覧表示し、任意のドキュメントを読み取ることができます。
悪用の状況
この脆弱性は、認証を必要としないため、特に懸念されます。攻撃者は、単に認証情報を提供せずに /api/puck/* エンドポイントに HTTP リクエストを送信するだけで、この脆弱性を悪用できます。悪用の容易さと、機密データへのアクセス可能性を考慮すると、この脆弱性は修正の優先度が高くなります。Puck エンドポイントでのアクセス検証の欠如により、Payload が実行されているネットワークにアクセスできるすべての人が情報を暴露される可能性があります。
リスク対象者翻訳中…
Organizations utilizing Payload CMS with the @delmaredigital/payload-puck plugin are at risk, particularly those with less stringent security practices or those relying on the plugin for critical data management. Shared hosting environments where Payload CMS is deployed could also be affected, as the vulnerability could be exploited through a compromised instance.
検出手順翻訳中…
• nodejs / server:
npm list @delmaredigital/payload-puckIf the version is less than 0.6.23, the system is vulnerable. • nodejs / server:
grep -r 'overrideAccess: true' ./node_modules/@delmaredigital/payload-puck/This searches for the vulnerable configuration setting within the plugin's code.
• generic web:
Check Payload CMS API endpoints (e.g., /api/puck/collections) for unauthorized access. Monitor access logs for unusual activity.
攻撃タイムライン
- Disclosure
disclosure
脅威インテリジェンス
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- なし — 認証不要。資格情報なしで悪用可能。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- 高 — 機密性の完全喪失。全データが読み取り可能。
- Integrity
- 高 — 任意のデータの書き込み・変更・削除が可能。
- Availability
- 低 — 部分的または断続的なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 予約済み
- 公開日
- EPSS 更新日
緩和策と回避策
この脆弱性に対する解決策は、@delmaredigital/payload-puck プラグインをバージョン 0.6.23 以降に更新することです。このバージョンは、/api/puck/* エンドポイントへのコレクションレベルのアクセス制御が正しく適用されるように修正しています。不正なデータアクセスリスクを軽減するために、できるだけ早くこの更新を適用することをお勧めします。さらに、Puck コレクションの構成を確認して、アクセスルールが正しく定義され、希望するセキュリティポリシーを反映していることを確認してください。
修正方法翻訳中…
Actualice el plugin payload-puck a la versión 0.6.23 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en los endpoints CRUD de /api/puck/*, asegurando que se apliquen los controles de acceso a nivel de colección.
CVEセキュリティニュースレター
脆弱性分析と重要アラートをメールでお届けします。
よくある質問
CVE-2026-39397 とは何ですか?(@delmaredigital/payload-puck)
Payload は、ウェブサイトやアプリケーション向けのコンテンツを作成および管理できるオープンソースのヘッドレス CMS です。
@delmaredigital/payload-puck の CVE-2026-39397 による影響を受けていますか?
CRUD は、Create (作成)、Read (読み取り)、Update (更新)、Delete (削除) の略で、データベース内のデータに対して実行される基本的な操作です。
@delmaredigital/payload-puck の CVE-2026-39397 を修正するにはどうすればよいですか?
@delmaredigital/payload-puck プラグインを使用しており、バージョン 0.6.23 以降でない場合は、影響を受けている可能性が高いです。
CVE-2026-39397 は積極的に悪用されていますか?
すぐに更新できない場合は、/api/puck/* エンドポイントへのアクセスを承認されたユーザーに制限することを検討してください。
CVE-2026-39397 に関する @delmaredigital/payload-puck の公式アドバイザリはどこで確認できますか?
この脆弱性に関する詳細情報は、Payload のセキュリティアドバイザリとプラグインの GitHub ページで確認できます。