Platform
php
Component
craftcms/cms
Opgelost in
4.0.1
5.0.1
4.17.4
CVE-2026-29113 beschrijft een informatieblootstelling in Craft CMS. Deze kwetsbaarheid stelt een aanvaller in staat om een preview token te genereren, waardoor ongeautoriseerde toegang tot onuitgegeven content mogelijk wordt. De kwetsbaarheid treft versies van Craft CMS tot en met 4.9.7. Een patch is beschikbaar in versie 4.17.4.
Deze kwetsbaarheid maakt misbruik van een CSRF-probleem in de preview token endpoint van Craft CMS. Een aanvaller kan een ingelogde gebruiker dwingen om een preview token te genereren dat door de aanvaller is gekozen. Met dit token kan de aanvaller vervolgens, zonder authenticatie, ongeautoriseerd toegang krijgen tot onuitgegeven content die gekoppeld is aan de preview scope van de gebruiker. Dit kan leiden tot blootstelling van gevoelige informatie, zoals concepten, wijzigingen en andere data die nog niet voor publicatie bestemd zijn. De impact is vooral groot in omgevingen waar onuitgegeven content gevoelige informatie bevat.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-10. Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid exploiteren, maar het is aannemelijk dat dit in de toekomst kan gebeuren. Er zijn geen publieke proof-of-concept exploits beschikbaar, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De KEV-status is momenteel onbekend.
Organizations and individuals utilizing Craft CMS for content management, particularly those with sensitive draft content or a large number of editors with preview access, are at risk. Shared hosting environments where multiple Craft CMS instances reside on the same server could potentially expose multiple sites to this vulnerability if one instance is compromised.
• php: Examine Craft CMS application logs for unusual activity related to the /actions/preview/create-token endpoint. Look for requests originating from unexpected IP addresses or user agents.
grep "/actions/preview/create-token" /path/to/craftcms/app/logs/web.log• generic web: Monitor access logs for requests to /actions/preview/create-token with unusual parameters or originating from unfamiliar sources.
grep "/actions/preview/create-token" /var/log/apache2/access.log• generic web: Check response headers for unexpected content or error codes when accessing /actions/preview/create-token.
curl -I https://your-craftcms-site.com/actions/preview/create-tokendisclosure
Exploit Status
EPSS
0.01% (0% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van Craft CMS naar versie 4.17.4 of hoger. Totdat de upgrade mogelijk is, kan de preview token endpoint tijdelijk uitgeschakeld worden door de configuratie aan te passen. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte verzoeken naar de /actions/preview/create-token endpoint te blokkeren. Controleer ook de toegangsrechten van gebruikers en beperk de scope van preview autorisaties om de potentiële impact te minimaliseren. Na de upgrade, verifieer de fix door te proberen een preview token te genereren met een externe request.
Werk Craft CMS bij naar versie 4.17.4 of hoger, of naar versie 5.9.7 of hoger. Dit corrigeert de CSRF-vulnerabiliteit in het endpoint voor het maken van preview-tokens, waardoor ongeauthentiseerde aanvallers geen toegang meer krijgen tot ongepubliceerde content.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-29113 is een kwetsbaarheid in Craft CMS waardoor een aanvaller ongeautoriseerde toegang kan krijgen tot onuitgegeven content via een CSRF-probleem in de preview token endpoint.
Ja, als u een versie van Craft CMS gebruikt die kleiner of gelijk is aan 4.9.7, dan bent u getroffen door deze kwetsbaarheid.
Upgrade Craft CMS naar versie 4.17.4 of hoger. Totdat de upgrade mogelijk is, overweeg dan om de preview token endpoint tijdelijk uit te schakelen.
Momenteel zijn er geen bekende actieve campagnes die deze kwetsbaarheid exploiteren, maar het is aannemelijk dat dit in de toekomst kan gebeuren.
Raadpleeg de officiële Craft CMS security advisories op hun website: [https://craftcms.com/security](https://craftcms.com/security)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.