CVE-2026-63099 in TheHiveالمعلومات

الملخص

بحسب VulDB • 18/07/2026

يحتوي TheHive حتى الإصدار 4.1.24 على ثغرة في تفويض الكائنات (Object-Level Authorization) غير السليم ضمن نقاط نهاية تنزيل المرفقات، مما يسمح لأي مستخدم مُصادَق عليه بالوصول إلى مرفقات تابعة لمنظمات أخرى عن طريق توفير معرّف تجزئة المحتوى (content-hash identifier). يمكن للمهاجمين استغلال فحص التفويض الناقص المحدد حسب المنظمة في الدالة AttachmentSrv.visible، والتي تُنفَّذ كعبور تمرير مباشر (pass-through traversal)، لتنزيل أي مرفقات عشوائية.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

VulnCheck

حجز

15/07/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379854

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to know what is going to be exploited?

We predict KEV entries!