Platform
nodejs
Component
payload
Opgelost in
3.79.2
3.79.1
CVE-2026-34751 beschrijft een kwetsbaarheid in de wachtwoordherstelprocedure van Payload. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om acties uit te voeren namens een gebruiker die een wachtwoordreset heeft aangevraagd. De kwetsbaarheid treft gebruikers van Payload versies lager dan v3.79.1 die de ingebouwde forgot-password functionaliteit gebruiken. Een upgrade naar v3.79.1 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gebruikersaccounts en de mogelijkheid om acties uit te voeren namens die gebruikers. Dit kan inhouden dat gevoelige gegevens worden bekeken, gewijzigd of verwijderd, en dat de aanvaller controle krijgt over de functionaliteit van de applicatie. De impact is aanzienlijk, vooral in omgevingen waar Payload wordt gebruikt voor het beheren van kritieke data of processen. Het misbruik van deze kwetsbaarheid kan vergelijkbare gevolgen hebben als een accountcompromittering, waarbij de aanvaller volledige controle over de account verkrijgt.
Op het moment van publicatie (2026-04-01) is er geen informatie beschikbaar over actieve exploits of KEV-registratie. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is echter kritiek geclassificeerd, wat suggereert dat exploitatie mogelijk is en dat er een potentieel risico bestaat.
Organizations and individuals using Payload with authentication enabled and relying on the built-in forgot-password functionality are at risk. This includes those deploying Payload in shared hosting environments or legacy configurations where upgrading may be challenging. Specifically, users who haven't implemented robust input validation or URL sanitization practices are particularly vulnerable.
• nodejs / server: Monitor Payload application logs for unusual password reset requests originating from unexpected IP addresses.
grep 'password reset request' /var/log/payload/app.log | grep -v 'your_expected_ip_range'• nodejs / server: Use process monitoring tools to ensure Payload is running version 3.79.1 or later.
node -v• generic web: Attempt to trigger the password reset flow for various user accounts and observe the resulting URLs for any signs of manipulation or unexpected behavior. Use curl to inspect the URL generated during the password reset process.
curl 'https://your-payload-instance/[email protected]'disclosure
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-34751 is het upgraden van Payload naar versie 3.79.1 of hoger. Deze versie bevat verbeterde inputvalidatie en een verharde URL-constructie in de wachtwoordherstelprocedure. Er zijn geen complete workarounds beschikbaar voor deze kwetsbaarheid. Het is sterk aanbevolen om onmiddellijk te upgraden om het risico te minimaliseren. Na de upgrade, controleer de functionaliteit van de wachtwoordherstelprocedure om te bevestigen dat deze correct werkt en dat er geen onverwachte gedragingen optreden.
Actualiseer Payload CMS naar versie 3.79.1 of hoger. Deze versie corrigeert een kwetsbaarheid in de wachtwoordherstel flow die een niet-geauthenticeerde aanvaller in staat zou kunnen stellen acties uit te voeren namens een gebruiker die een wachtwoordreset initieert.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34751 is a critical vulnerability in Payload versions prior to 3.79.1 that allows unauthenticated attackers to perform actions on behalf of users during password resets, potentially leading to account takeover.
You are affected if you are using Payload version < v3.79.1 with any auth-enabled collection utilizing the built-in forgot-password functionality.
Upgrade Payload to version 3.79.1 or later to mitigate the vulnerability. There are no complete workarounds available.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for active exploitation. Monitor security advisories.
Refer to the official Payload security advisory for detailed information and updates regarding CVE-2026-34751.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.