CVE-2026-41649 in Outlineالمعلومات

الملخص

بحسب VulDB • 10/05/2026

Outline هو خدمة تتيح توثيق التعاون. يحتوي نقطة نهاية واجهة برمجة التطبيقات `shares.create` بدءًا من الإصدار 0.86.0 وحتى قبل الإصدار 1.7.0 على مرجع كائن مباشر غير آمن. عندما يتم تقديم `collectionId` و `documentId` معًا في الطلب، فإن منطق التفويض يتحقق فقط من الوصول إلى المجموعة، متجاهلاً تمامًا المستند. هذا يسمح لمهاجم مُصادق عليه بإنشاء رابط مشاركة عام صالح لأي مستند على المنصة، بما في ذلك المستندات التابعة لمساحات عمل أخرى. يمكن بعد ذلك استرداد محتويات المستند الكاملة عبر نقطة نهاية `documents.info`. يحتوي الإصدار 1.7.0 على تصحيح للثغرة.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

22/04/2026

إفشاء

29/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360093

CPE

جاهز

CWE

CWE-639 (مؤكد)

CVSS

7.7 (CNA)

EPSS

0.00036

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41649
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41649
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41649/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!