Platform
php
Component
chyrp-lite
Opgelost in
2026.01
Chyrp Lite is een zeer lichte blogging engine. Een IDOR / Mass Assignment kwetsbaarheid in het Post model stelt geauthenticeerde gebruikers met post bewerkingsrechten in staat om posts te wijzigen waarvoor ze geen toestemming hebben. Door interne class properties zoals de ID mee te geven in de post_attributes payload, kan een aanvaller de objectinstantie veranderen, waardoor acties op een andere gebruikerspost worden uitgevoerd. Dit kan leiden tot post overname en is van invloed op versies van Chyrp Lite tot en met 2026.01. Een patch is beschikbaar in versie 2026.01.
CVE-2026-35173 treft Chyrp Lite, een lichtgewicht blogging engine, waarbij geauthenticeerde gebruikers met bewerkingsrechten voor berichten (Bericht bewerken, Concept bewerken, Eigen Bericht bewerken, Eigen Concept bewerken) berichten kunnen bewerken waar ze niet de eigenaar van zijn en waarvoor ze geen toestemming hebben. Deze IDOR (Indirect Object Reference) en Mass Assignment kwetsbaarheid ontstaat doordat het systeem interne identificatoren niet correct valideert bij het verwerken van bewerkingsverzoeken. Een aanvaller kan de post_attributes payload manipuleren door de ID's van andere berichten te includeren, waardoor ze de gegevens van berichten kunnen wijzigen waarvoor ze geen toegang zouden moeten hebben. Dit kan leiden tot wijziging van inhoud, verwijdering van berichten of zelfs injectie van kwaadaardige code, waardoor de integriteit van de website en gebruikersinformatie wordt aangetast. De CVSS-severity score is 6.5, wat een matig risico aangeeft.
Een aanvaller met een geauthenticeerde gebruikersaccount in Chyrp Lite en bewerkingsrechten voor berichten kan deze kwetsbaarheid uitbuiten. De aanvaller kan de ID van een bericht identificeren waar ze niet de eigenaar van zijn en vervolgens een kwaadaardig bewerkingsverzoek construeren, waarbij de post_attributes payload wordt gemanipuleerd om de ID van het doelbericht te includeren. Als de applicatie deze ID niet correct valideert, kan de aanvaller de gegevens van het bericht wijzigen alsof ze de eigenaar zijn. Exploitatie vereist basiskennis van de datastructuur van Chyrp Lite en het vermogen om gemanipuleerde HTTP-verzoeken te construeren. De moeilijkheidsgraad van exploitatie is relatief laag zodra geauthenticeerde toegang en bewerkingsrechten zijn verkregen.
Blog administrators and users with post editing permissions are at risk. Shared hosting environments are particularly vulnerable, as multiple Chyrp Lite instances may reside on the same server, increasing the potential for cross-site exploitation. Users relying on Chyrp Lite for sensitive information or critical communications should prioritize patching.
• php: Examine application logs for unusual POST requests containing manipulated post_attributes payloads. Search for patterns like id=... followed by unexpected user IDs.
grep 'post_attributes=id=' /var/log/apache2/access.log• generic web: Monitor for POST requests to post editing endpoints with suspicious parameters. Use a WAF to detect and block such requests.
curl -X POST -d "post_attributes=id=123" <post_edit_endpoint>• generic web: Check for unusual modifications to post content or metadata that do not align with expected user activity.
disclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-35173 is om Chyrp Lite te updaten naar versie 2026.01 of hoger. Deze update implementeert strengere beveiligingsvalidaties om manipulatie van interne identificatoren te voorkomen en ervoor te zorgen dat gebruikers alleen de berichten kunnen bewerken waarvoor ze de juiste permissies hebben. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om het risico op uitbuiting te beperken. Controleer bovendien de gebruikersrollen- en permissiebeleid binnen Chyrp Lite om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de bewerkingsfunctionaliteiten van berichten. Het monitoren van serverlogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op mogelijke uitbuitingspogingen.
Actualice Chyrp Lite a la versión 2026.01 o posterior para mitigar la vulnerabilidad de IDOR. Esta actualización corrige el problema de asignación masiva que permite a los atacantes modificar publicaciones que no poseen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
IDOR staat voor Indirect Object Reference (Indirecte Objektreferentie). Het is een type kwetsbaarheid dat optreedt wanneer een applicatie een identificator (zoals een bericht-ID) gebruikt om toegang te krijgen tot een object, maar niet verifieert of de gebruiker toestemming heeft om toegang te krijgen tot dat object.
Als u een versie gebruikt die vóór 2026.01 is, is uw site kwetsbaar. U kunt uw versie controleren op de Chyrp Lite beheerpagina.
Wijzig onmiddellijk alle gebruikerswachtwoorden, bekijk berichten op verdachte inhoud en pas de update toe op de nieuwste versie van Chyrp Lite.
Momenteel zijn er geen specifieke tools om CVE-2026-35173 te detecteren. Web-vulnerability scanners kunnen echter IDOR-patronen identificeren.
U kunt meer informatie vinden in vulnerability databases zoals de NIST NVD (National Vulnerability Database) of op de Chyrp Lite community forums.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.