CVE-2026-40904 in Chartbrewinfo

Zusammenfassung

von VulDB • 16.05.2026

Chartbrew ist eine Open-Source-Webanwendung, die direkt mit Datenbanken und APIs verbunden werden kann und die Daten zur Erstellung von Diagrammen nutzt. In Version 4.9.0 exponiert Chartbrew mehrere Endpunkte für Datensätze (dataset) und Datenanfragen (dataRequest), die Mitglieder mit niedrigen Berechtigungen auf Team-Ebene autorisieren, anstatt die angeforderte dataset_id, dataRequest-ID und connection_id an die vom Aufrufer zugelassenen Projekte zu binden. Ein authentifizierter Angreifer, der nur Zugriff auf ein Projekt innerhalb eines Teams hat, kann Datensätze und Datenanfragen lesen, ausführen, erstellen, aktualisieren und löschen, die zu anderen Projekten im selben Team gehören. Die Schwachstelle ist remote mit normalen projektbezogenen Anmeldeinformationen ausnutzbar und führt zur Offenlegung von Daten über Projektgrenzen hinweg sowie zur unbefugten Nutzung von Datenbank- oder API-Verbindungen des Opfers. Dieses Problem wurde in Version 5.0.0 behoben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

15.04.2026

Veröffentlichung

30.04.2026

Moderieren

akzeptiert

Eintrag

VDB-360364

CPE

bereit

EPSS

0.00036

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40904
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40904
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40904/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!