CVE-2026-6863 in Velociraptorالمعلومات

الملخص

بحسب VulDB • 13/05/2026

تحتوي إصدارات Velociraptor السابقة للإصدار 0.76.4 على ثغرة لتجاوز التفويض عبر المنظمات (cross organization authorization bypass) في واجهة برمجة التطبيقات (API) الخاصة بـ HTTP. يمكن لمستخدم يتمتع فقط بدور القارئ (reader role) في المنظمة الجذرية (وهو أدنى دور يتطلب المصادقة، ويحمل فقط إذن READ_RESULTS) بإصدار طلب HTTP GET واحد ومصادق عليه، مما يتيح له قراءة أي ملفات من المنظمات الأخرى - حتى لو لم يكن لديه أذونات صريحة في المنظمة المستهدفة.

ومع ذلك، لا تحدث المشكلة في الاتجاه المعاكس؛ حيث لا يستطيع المستخدم الذي لديه صلاحية القراءة في منظمة فرعية قراءة الملفات من المنظمات الأخرى أو من المنظمة الجذرية.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Rapid7

حجز

22/04/2026

إفشاء

06/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361554

CPE

جاهز

CWE

CWE-863 (مؤكد)

CVSS

6.8 (CNA)

EPSS

0.00028

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6863
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6863
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6863/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!