Fiche CVE
CVE-2026-33888
Bypass d'autorisation dans ApostropheCMS
Une vulnérabilité dans ApostropheCMS permet à un attaquant non authentifié de contourner les restrictions d'accès aux données via l'API REST. Cela peut entraîner la divulgation d'informations sensibles qui devraient être protégées.
En bref
Résumé opérationnel
Bypass d'autorisation
Les attaquants peuvent exploiter cette faille en ajoutant des paramètres de requête à une URL publique, ce qui leur permet d'accéder à des champs de documents qui devraient être restreints, tels que des notes internes ou des contenus non publiés.
Le risque est élevé, car un attaquant pourrait accéder à des informations sensibles et potentiellement compromettre la sécurité de l'application.
Suis-je concerné ?
Vérification d’impact
Commencez par identifier le produit, la version et l’exposition réelle dans votre périmètre.
Vous êtes concerné si vous utilisez ApostropheCMS dans les versions antérieures à 4.29.0. Vérifiez la présence des produits affectés et les versions déployées pour évaluer votre exposition.
| Éditeur | Produit | Écosystème | Versions connues |
|---|---|---|---|
| apostrophecms | apostrophe | n/d | < 4.29.0 |
| npm | apostrophe | npm | 4.29.0 |
Remédiation
Procédure recommandée
-
Étape 1
Identifiez les instances de ApostropheCMS dans votre environnement.
-
Étape 2
Vérifiez si vos versions déployées sont affectées et si le composant est exposé.
-
Étape 3
Mettez à jour vers la version corrigée 4.29.0.
-
Étape 4
Si une mise à jour immédiate n'est pas possible, réduisez l'exposition et renforcez la surveillance des applications.
Détails de suivi
Qualification et chronologie
CVE confirmée par une source officielle.
Détection possible en vérifiant la présence des produits affectés apostrophecms / apostrophe, npm / apostrophe. Contrôler les versions et l'exposition des composants référencés.
Version corrigée publiée : 4.29.0.
- Dernière mise à jour connue mise_a_jour
- Version corrigée publiée : 4.29.0. solution_available
- Publication de la CVE publication