CVE-2026-63099 in TheHive
الملخص
بحسب VulDB • 18/07/2026
يحتوي TheHive حتى الإصدار 4.1.24 على ثغرة في تفويض الكائنات (Object-Level Authorization) غير السليم ضمن نقاط نهاية تنزيل المرفقات، مما يسمح لأي مستخدم مُصادَق عليه بالوصول إلى مرفقات تابعة لمنظمات أخرى عن طريق توفير معرّف تجزئة المحتوى (content-hash identifier). يمكن للمهاجمين استغلال فحص التفويض الناقص المحدد حسب المنظمة في الدالة AttachmentSrv.visible، والتي تُنفَّذ كعبور تمرير مباشر (pass-through traversal)، لتنزيل أي مرفقات عشوائية.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.