Fiche CVE
CVE-2026-33877
Vulnérabilité d'énumération d'utilisateurs dans ApostropheCMS
ApostropheCMS présente une vulnérabilité d'énumération d'utilisateurs via un canal latéral temporel dans l'endpoint de réinitialisation de mot de passe. Les versions antérieures à 4.29.0 permettent à un attaquant d'identifier des noms d'utilisateur et des adresses email valides en exploitant des délais de réponse différents.
En bref
Résumé opérationnel
Énumération d'utilisateurs
Les attaquants peuvent automatiser l'énumération de comptes valides, facilitant ainsi des attaques par bourrage d'identifiants ou du phishing ciblé.
Le risque est faible, mais il permet à un attaquant d'identifier des comptes valides, augmentant ainsi la probabilité d'attaques ultérieures.
Suis-je concerné ?
Vérification d’impact
Commencez par identifier le produit, la version et l’exposition réelle dans votre périmètre.
Vous êtes concerné si vous utilisez ApostropheCMS dans les versions inférieures à 4.29.0 et si l'option passwordReset est activée. Vérifiez les versions et l'exposition des composants.
| Éditeur | Produit | Écosystème | Versions connues |
|---|---|---|---|
| apostrophecms | apostrophe | n/d | < 4.29.0 |
| npm | apostrophe | npm | 4.29.0 |
Remédiation
Procédure recommandée
-
Étape 1
Identifiez les instances d'ApostropheCMS dans votre périmètre.
-
Étape 2
Vérifiez si vos versions déployées sont affectées et si le composant est exposé.
-
Étape 3
Mettez à jour vers la version corrigée 4.29.0.
-
Étape 4
Si une mise à jour immédiate n'est pas possible, réduisez l'exposition et renforcez la surveillance applicative.
Détails de suivi
Qualification et chronologie
CVE confirmée par une source officielle.
Détection possible en vérifiant la présence des produits affectés apostrophecms / apostrophe, npm / apostrophe. Contrôler les versions et l'exposition des composants référencés.
Version corrigée publiée : 4.29.0.
- Dernière mise à jour connue mise_a_jour
- Version corrigée publiée : 4.29.0. solution_available
- Publication de la CVE publication