CRITICALCVE-2026-39397CVSS 9.4

@delmaredigital/payload-puc 在 /api/puck/* CRUD 接口缺少授权验证，允许未认证用户访问 Puck 注册的集合

Q: CVE-2026-39397 是什么 — @delmaredigital/payload-puck 中的漏洞？

Payload 是一个开源的无头 CMS，允许开发人员创建和管理网站和应用程序的内容。

Q: @delmaredigital/payload-puck 中的 CVE-2026-39397 是否会影响我？

CRUD 是 Create（创建）、Read（读取）、Update（更新）和 Delete（删除）的首字母缩写，表示数据库中数据执行的基本操作。

Q: 如何修复 @delmaredigital/payload-puck 中的 CVE-2026-39397？

如果您正在使用 @delmaredigital/payload-puck 插件并且未更新到 0.6.23 或更高版本，则很可能受到影响。

Q: CVE-2026-39397 是否正在被积极利用？

如果您无法立即更新，请考虑限制对 `/api/puck/*` 端点的访问，仅允许授权用户访问。

Q: 在哪里可以找到 @delmaredigital/payload-puck 关于 CVE-2026-39397 的官方安全通告？

您可以在 Payload 安全公告和插件的 GitHub 页面上找到有关此漏洞的更多信息。

平台

nodejs

组件

@delmaredigital/payload-puck

修复版本

0.6.24

0.6.23

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-39397 是一个在 @delmaredigital/payload-puck 组件中发现的严重漏洞，它允许攻击者绕过访问控制机制。由于 /api/puck/* CRUD 端点处理程序默认使用 overrideAccess: true，导致所有 Puck 注册的集合的集合级别访问控制失效。攻击者可以利用此漏洞读取、创建和修改任意文档，包括草稿，从而造成严重的数据泄露和篡改。该漏洞影响 Payload Puck 0.6.23 之前的版本，建议立即升级到 0.6.23 以修复此问题。

影响与攻击场景

CVE-2026-39397 在 @delmaredigital/payload-puck 中允许未经身份验证的攻击者访问 Payload 系统中的敏感数据。具体来说，createPuckPlugin() 注册的 /api/puck/* 端点的 CRUD（创建、读取、更新、删除）处理程序以 overrideAccess: true 方式调用 Payload 的本地 API，从而有效地忽略了任何级别的集合访问控制。这意味着攻击者可以在无需身份验证或授权的情况下，列出所有文档（包括草稿）并读取任何 Puck 注册集合中的任何文档。

利用背景

由于此漏洞不需要身份验证，因此尤其令人担忧。攻击者只需向 /api/puck/* 端点发送 HTTP 请求，而无需提供凭据即可利用此漏洞。易于利用的特性与访问机密数据的潜在风险相结合，使此漏洞成为修复的首要任务。Puck 端点上缺乏访问验证，将信息暴露给任何可以访问运行 Payload 的网络的任何人。

哪些人处于风险中翻译中…

Organizations utilizing Payload CMS with the @delmaredigital/payload-puck plugin are at risk, particularly those with less stringent security practices or those relying on the plugin for critical data management. Shared hosting environments where Payload CMS is deployed could also be affected, as the vulnerability could be exploited through a compromised instance.

检测步骤翻译中…

• nodejs / server:

  npm list @delmaredigital/payload-puck

If the version is less than 0.6.23, the system is vulnerable. • nodejs / server:

  grep -r 'overrideAccess: true' ./node_modules/@delmaredigital/payload-puck/

This searches for the vulnerable configuration setting within the plugin's code. • generic web: Check Payload CMS API endpoints (e.g., /api/puck/collections) for unauthorized access. Monitor access logs for unusual activity.

攻击时间线

2026-04-08Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响total

受影响的软件

组件@delmaredigital/payload-puck

供应商osv

影响范围修复版本

< 0.6.23 – < 0.6.230.6.24

—0.6.23

弱点分类 (CWE)

CWE-862

时间线

已保留2026-04-06
发布日期2026-04-08
EPSS 更新日期2026-04-15

缓解措施和替代方案

此漏洞的解决方案是将 @delmaredigital/payload-puck 插件更新到 0.6.23 或更高版本。此版本通过确保将集合级别的访问控制正确应用于 /api/puck/* 端点来修复此问题。建议尽快应用此更新，以降低未经授权访问数据的风险。此外，请审查您的 Puck 集合配置，以确保访问规则已正确定义并反映您的期望的安全策略。

修复方法翻译中…

Actualice el plugin payload-puck a la versión 0.6.23 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en los endpoints CRUD de /api/puck/*, asegurando que se apliquen los controles de acceso a nivel de colección.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-39397 是什么 — @delmaredigital/payload-puck 中的漏洞？