CVE-2026-25494

المصدر الرسمي: NVD

العودة للثغرات المصدر الرسمي

مستوى الخطورة

متوسطة (Medium)

درجة CVSS

6.9

حالة الاستغلال KEV

غير مدرجة حاليًا

تاريخ النشر

2026-02-09

وصف الثغرة

Craft is a platform for creating digital experiences. In Craft versions 4.0.0-RC1 through 4.16.17 and 5.0.0-RC1 through 5.8.21, the saveAsset GraphQL mutation uses filter_var(..., FILTER_VALIDATE_IP) to block a specific list of IP addresses. However, alternative IP notations (hexadecimal, mixed) are not recognized by this function, allowing attackers to bypass the blocklist and access cloud metadata services. This issue is patched in versions 4.16.18 and 5.8.22.

الأثر المحتمل

لم تتوفر تفاصيل إضافية في المصدر الرسمي.

التوصيات والمعالجة

لم تتوفر تفاصيل إضافية في المصدر الرسمي.\nراجع روابط المصدر الرسمية.

حالة الاستغلال (KEV)

لا يوجد إدراج حاليًا في قائمة KEV.

المراجع الرسمية

English Technical Fields

Description: Craft is a platform for creating digital experiences. In Craft versions 4.0.0-RC1 through 4.16.17 and 5.0.0-RC1 through 5.8.21, the saveAsset GraphQL mutation uses filter_var(..., FILTER_VALIDATE_IP) to block a specific list of IP addresses. However, alternative IP notations (hexadecimal, mixed) are not recognized by this function, allowing attackers to bypass the blocklist and access cloud metadata services. This issue is patched in versions 4.16.18 and 5.8.22.

CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X