CVE-2026-40904 in Chartbrewالمعلومات

الملخص

بحسب VulDB • 23/05/2026

Chartbrew هو تطبيق ويب مفتوح المصدر يمكنه الاتصال مباشرة بقواعد البيانات وواجهات برمجة التطبيقات (APIs) واستخدام البيانات لإنشاء الرسوم البيانية. في الإصدار 4.9.0، يكشف Chartbrew عن نقاط نهاية (endpoints) متعددة لمجموعات البيانات وطلبات البيانات، حيث يسمح لأعضاء المشروع ذوي الصلاحيات المنخفضة على مستوى الفريق بالوصول بدلاً من ربط معرف مجموعة البيانات المطلوب (dataset_id)، ومعرف طلب البيانات (dataRequest id)، ومعرف الاتصال (connection_id) بالمشاريع المسموح بها للمستخدم المتصل. يمكن لمهاجم مُصادَق عليه والذي لديه فقط وصول إلى مشروع واحد داخل فريق أن يقرأ، وينفذ، وينشئ، ويحدّث، ويمسح مجموعات البيانات وطلبات البيانات التي تنتمي إلى مشاريع أخرى في نفس الفريق. يمكن استغلال هذه الثغرة عن بُعد باستخدام بيانات اعتماد عادية على مستوى المشروع، مما يؤدي إلى كشف البيانات عبر المشاريع واستخدام غير مصرح به لاتصالات قاعدة البيانات أو واجهات برمجة التطبيقات الخاصة بالضحية. تم إصلاح هذه المشكلة في الإصدار 5.0.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

15/04/2026

إفشاء

30/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360364

CPE

جاهز

CWE

CWE-284 (مؤكد)

CVSS

8.1 (CNA)

EPSS

0.00036

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40904
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40904
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40904/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!