Platform
nodejs
Component
@delmaredigital/payload-puck
Opgelost in
0.6.24
0.6.23
CVE-2026-39397 is a critical remote code execution (RCE) vulnerability affecting the @delmaredigital/payload-puck Node.js package. This flaw allows unauthenticated attackers to bypass access controls within Payload CMS, enabling them to manipulate data within Puck-registered collections. Affected versions are those prior to 0.6.23; upgrading to the patched version is essential to mitigate this risk.
CVE-2026-39397 in @delmaredigital/payload-puck stelt een niet-geauthenticeerde aanvaller in staat om toegang te krijgen tot gevoelige gegevens binnen een Payload-systeem. Specifiek riepen CRUD-handlers (Create, Read, Update, Delete) voor /api/puck/*-endpoints, geregistreerd door createPuckPlugin(), de lokale Payload-API aan met overrideAccess: true, waardoor alle toegangscontroles op collection-niveau effectief werden genegeerd. Dit betekent dat een aanvaller alle documenten, inclusief concepten, kan opsommen en elk document in elke Puck-geregistreerde collectie kan lezen zonder authenticatie of autorisatie.
Deze kwetsbaarheid is vooral zorgwekkend omdat geen authenticatie vereist is. Een aanvaller kan deze uitbuiten door eenvoudigweg HTTP-verzoeken naar de /api/puck/*-endpoints te sturen zonder inloggegevens te verstrekken. De eenvoud van de exploitatie, in combinatie met het potentieel voor toegang tot vertrouwelijke gegevens, maakt deze kwetsbaarheid een hoge prioriteit voor herstel. Het ontbreken van toegangsvalidatie op Puck-endpoints stelt de informatie bloot aan iedereen met toegang tot het netwerk waarop Payload wordt uitgevoerd.
Organizations utilizing Payload CMS with the @delmaredigital/payload-puck plugin are at risk, particularly those with less stringent security practices or those relying on the plugin for critical data management. Shared hosting environments where Payload CMS is deployed could also be affected, as the vulnerability could be exploited through a compromised instance.
• nodejs / server:
npm list @delmaredigital/payload-puckIf the version is less than 0.6.23, the system is vulnerable. • nodejs / server:
grep -r 'overrideAccess: true' ./node_modules/@delmaredigital/payload-puck/This searches for the vulnerable configuration setting within the plugin's code.
• generic web:
Check Payload CMS API endpoints (e.g., /api/puck/collections) for unauthorized access. Monitor access logs for unusual activity.
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is het bijwerken van het @delmaredigital/payload-puck-plugin naar versie 0.6.23 of hoger. Deze versie corrigeert het probleem door ervoor te zorgen dat toegangscontroles op collection-niveau correct worden toegepast op de /api/puck/*-endpoints. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om het risico van ongeautoriseerde toegang tot gegevens te verminderen. Controleer bovendien de configuraties van uw Puck-collecties om ervoor te zorgen dat toegangsregels correct zijn gedefinieerd en uw gewenste beveiligingsbeleid weerspiegelen.
Actualice el plugin payload-puck a la versión 0.6.23 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en los endpoints CRUD de /api/puck/*, asegurando que se apliquen los controles de acceso a nivel de colección.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Payload is een open-source headless CMS waarmee ontwikkelaars inhoud voor websites en applicaties kunnen maken en beheren.
CRUD staat voor Create, Read, Update en Delete, de basisoperaties die op gegevens in een database worden uitgevoerd.
Als u het @delmaredigital/payload-puck-plugin gebruikt en niet op versie 0.6.23 of hoger bent, is de kans groot dat u getroffen bent.
Als u niet onmiddellijk kunt updaten, overweeg dan om de toegang tot de /api/puck/*-endpoints te beperken tot geautoriseerde gebruikers.
U kunt meer informatie over de kwetsbaarheid vinden in de Payload-beveiligingsadvies en op de GitHub-pagina van de plugin.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.