CVE-2026-44719 in mathesarinfo

Zusammenfassung

von VulDB • 15.05.2026

Mathesar ist eine Webanwendung, die die Arbeit mit PostgreSQL-Datenbanken sowohl einfach als auch leistungsstark gestaltet. Von Version 0.2.0 bis vor 0.10.0 akzeptieren die Endpunkte collaborators.list, tables.metadata.list, explorations.list und forms.list eine database_id, ohne zu überprüfen, ob der anfragende Benutzer tatsächlich als Mitarbeiter (Collaborator) für diese Datenbank autorisiert ist. Ein authentifizierter Benutzer derselben Mathesar-Installation könnte diese Methoden nutzen, um auf Mathesar-verwaltetes Metadata für Datenbanken zuzugreifen, bei denen er nicht als Mitarbeiter autorisiert ist. Je nach verwendeter Datenbank und Funktionen könnten die offengelegten Metadata-Elemente Zuordnungen von Mitarbeitern, Tabellendetails, gespeicherte Explorationsdetails und Formulardetails umfassen. Bei Formularen beinhalteten die offengelegten Metadata-Elemente auch Formulare-Token. Für öffentliche Formulare entspricht der Besitz des Tokens dem Besitz des Links zum öffentlichen Formular, was das Einreichen von Daten in das Formular unter der für das Formular konfigurierten PostgreSQL-Rolle ermöglicht. Diese Schwachstelle wurde in Version 0.10.0 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

07.05.2026

Veröffentlichung

15.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364234

CPE

bereit

EPSS

0.00043

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44719
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44719
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44719/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!