Plataforma
nodejs
Componente
@delmaredigital/payload-puck
Corrigido em
0.6.24
0.6.23
CVE-2026-39397 is a critical remote code execution (RCE) vulnerability affecting the @delmaredigital/payload-puck Node.js package. This flaw allows unauthenticated attackers to bypass access controls within Payload CMS, enabling them to manipulate data within Puck-registered collections. Affected versions are those prior to 0.6.23; upgrading to the patched version is essential to mitigate this risk.
A vulnerabilidade CVE-2026-39397 no @delmaredigital/payload-puck permite que um atacante não autenticado acesse dados sensíveis dentro de um sistema Payload. Especificamente, os manipuladores CRUD (Criar, Ler, Atualizar, Excluir) para os endpoints /api/puck/* registrados por createPuckPlugin() estavam chamando a API local do Payload com overrideAccess: true, ignorando efetivamente qualquer controle de acesso no nível da coleção. Isso significa que um atacante poderia listar todos os documentos, incluindo rascunhos, e ler qualquer documento em qualquer coleção registrada no Puck, sem necessidade de autenticação ou autorização.
Esta vulnerabilidade é particularmente preocupante porque não requer autenticação. Um atacante poderia explorá-la simplesmente enviando solicitações HTTP para os endpoints /api/puck/* sem fornecer credenciais. A facilidade de exploração, combinada com o potencial de acesso a dados confidenciais, torna esta vulnerabilidade uma prioridade alta para correção. A falta de validação de acesso nos endpoints Puck expõe as informações a qualquer pessoa com acesso à rede onde o Payload está sendo executado.
Organizations utilizing Payload CMS with the @delmaredigital/payload-puck plugin are at risk, particularly those with less stringent security practices or those relying on the plugin for critical data management. Shared hosting environments where Payload CMS is deployed could also be affected, as the vulnerability could be exploited through a compromised instance.
• nodejs / server:
npm list @delmaredigital/payload-puckIf the version is less than 0.6.23, the system is vulnerable. • nodejs / server:
grep -r 'overrideAccess: true' ./node_modules/@delmaredigital/payload-puck/This searches for the vulnerable configuration setting within the plugin's code.
• generic web:
Check Payload CMS API endpoints (e.g., /api/puck/collections) for unauthorized access. Monitor access logs for unusual activity.
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o plugin @delmaredigital/payload-puck para a versão 0.6.23 ou superior. Esta versão corrige o problema, garantindo que os controles de acesso no nível da coleção sejam aplicados corretamente aos endpoints /api/puck/*. Recomenda-se aplicar esta atualização o mais rápido possível para mitigar o risco de acesso não autorizado aos dados. Além disso, revise a configuração de suas coleções Puck para garantir que as regras de acesso estejam corretamente definidas e reflitam as políticas de segurança desejadas.
Actualice el plugin payload-puck a la versión 0.6.23 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en los endpoints CRUD de /api/puck/*, asegurando que se apliquen los controles de acceso a nivel de colección.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Payload é um CMS headless de código aberto que permite aos desenvolvedores criar e gerenciar conteúdo para sites e aplicativos.
CRUD é a sigla de Criar, Ler, Atualizar e Excluir, as operações básicas que são realizadas sobre os dados em um banco de dados.
Se você estiver usando o plugin @delmaredigital/payload-puck e não estiver na versão 0.6.23 ou superior, é provável que esteja afetado.
Se não puder atualizar imediatamente, considere restringir o acesso aos endpoints /api/puck/* a usuários autorizados.
Você pode encontrar mais informações sobre a vulnerabilidade no aviso de segurança do Payload e na página do GitHub do plugin.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.