Plataforma
nodejs
Componente
payloadcms
Corrigido em
3.79.2
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no Payload CMS, um sistema de gerenciamento de conteúdo headless. Essa falha, presente nas versões 3.79.0 e anteriores a 3.79.1, permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento. A vulnerabilidade foi corrigida na versão 3.79.1 e a atualização é altamente recomendada.
Um atacante pode explorar essa vulnerabilidade para realizar ações não autorizadas em um site Payload CMS, como modificar conteúdo, alterar configurações de usuário ou até mesmo comprometer a segurança do sistema. O ataque CSRF geralmente envolve a criação de um link ou formulário malicioso que, quando acessado por um usuário autenticado, envia uma requisição para o servidor Payload CMS com as credenciais do usuário. O impacto pode variar dependendo das permissões do usuário afetado, mas em casos de contas com privilégios administrativos, o atacante pode obter controle total sobre o site.
A vulnerabilidade foi divulgada em 2026-04-01. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A ausência de um Proof of Concept (PoC) público reduz o risco imediato, mas a natureza inerente de vulnerabilidades CSRF exige atenção e mitigação proativa.
Organizations and individuals using Payload CMS versions 3.79.0 through 3.79.0 are at risk. This includes those deploying Payload CMS in production environments, development environments, or staging environments. Shared hosting environments using Payload CMS are particularly vulnerable, as they may be more difficult to patch quickly.
• nodejs: Monitor application logs for suspicious requests originating from different origins. Use Node.js security auditing tools to identify potential CSRF vulnerabilities.
npm audit payload-cms• generic web: Examine access logs for requests with unusual referer headers or POST requests to sensitive endpoints. Check response headers for unexpected redirects.
curl -I https://your-payload-cms-site.com/admin/some-sensitive-endpointdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para essa vulnerabilidade é atualizar o Payload CMS para a versão 3.79.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a validação de tokens CSRF em todos os formulários e requisições críticas. Implementar políticas de segurança de conteúdo (CSP) também pode ajudar a mitigar o risco. Após a atualização, verifique a integridade do sistema e confirme que a proteção CSRF está funcionando corretamente, testando o envio de requisições com e sem tokens válidos.
Atualize para a versão 3.79.1 ou posterior para mitigar a vulnerabilidade de bypass de proteção CSRF no fluxo de autenticação. Esta atualização corrige o problema ao implementar medidas de segurança mais robustas para prevenir solicitações forjadas entre sites.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34749 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no Payload CMS, permitindo que atacantes executem ações não autorizadas em nome de usuários autenticados.
Se você estiver utilizando o Payload CMS nas versões 3.79.0 ou anteriores a 3.79.1, você está afetado por essa vulnerabilidade.
A correção é atualizar o Payload CMS para a versão 3.79.1 ou superior. Implemente medidas de proteção CSRF adicionais como medida temporária.
Atualmente, não há informações sobre exploração ativa do CVE-2026-34749, mas a vulnerabilidade requer atenção e mitigação proativa.
Consulte o site oficial do Payload CMS ou o repositório GitHub do projeto para obter informações e atualizações sobre a vulnerabilidade e a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.