Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-49858

PUBLISHED 01.07.2026

CNA: GitHub_M

API Platform Core: Cross-user attribute leak in JSON:API and HAL item normalizers due to missing isCacheKeySafe gate

Обновлено: 01.07.2026
API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. In versions from 2.6.0 prior to 4.1.29, 4.2.26, and 4.3.12, a missing isCacheKeySafe gate in the JSON:API and HAL item normalizers causes a cross-user attribute leak. #[ApiProperty(security: ...)] is evaluated per request to decide whether a property is exposed. The componentsCache arrays in ApiPlatform\JsonApi\Serializer\ItemNormalizer and ApiPlatform\Hal\Serializer\ItemNormalizer are keyed on $context['cache_key'], which is set unconditionally before delegating to the parent normalizer. The component structure (attributes, relationships, links) computed for one request can therefore be reused for a subsequent request whose user has a different set of accessible properties. A user with lower privileges may end up seeing the structure of properties that the security predicate would otherwise have hidden for them. This issue has been fixed in versions 4.1.29, 4.2.26, and 4.3.12.

CWE

Идентификатор Описание
CWE-524 The code uses a cache that contains sensitive information, but the cache can be read by an actor outside of the intended control sphere.
CWE-639 The system's authorization functionality does not prevent one user from gaining access to another user's data or record by modifying the key value identifying the data.

CVSS

Оценка Severity Версия Базовый вектор
5.9 MEDIUM 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Доп. Информация

Product Status

core
Product: core
Vendor: api-platform
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии >= 2.6.0, < 4.1.29 affected
Наблюдалось в версии >= 4.2.0, < 4.2.25 affected
Наблюдалось в версии >= 4.3.0, < 4.3.8 affected
api-platform/hal
Product: api-platform/hal
Vendor: api-platform
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии >= 2.6.0, < 4.1.29 affected
Наблюдалось в версии >= 4.2.0, < 4.2.25 affected
Наблюдалось в версии >= 4.3.0, < 4.3.8 affected
api-platform/json-api
Product: api-platform/json-api
Vendor: api-platform
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии >= 2.6.0, < 4.1.29 affected
Наблюдалось в версии >= 4.2.0, < 4.2.25 affected
Наблюдалось в версии >= 4.3.0, < 4.3.8 affected
 

Ссылки

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.