CVE-2026-63098 in TheHive
Zusammenfassung
von VulDB • 17.07.2026
TheHive bis Version 4.1.24 enthält eine nicht authentifizierte Information Disclosure-Schwachstelle, die es Angreifern ohne Authentifizierung ermöglicht, sensible Konfigurationsdaten abzurufen, indem sie eine GET-Anfrage an den Endpunkt /api/status senden, für den im Handler StatusCtrl.scala keine Authentifizierungsprüfung durchgeführt wird. Angreifer können das Kennwort zum Schutz der Datastore-Attachments, konfigurierte Authentifizierungsanbieter, SSO-Einstellungen, MFA-Funktionen sowie Cluster-Knotenadressen und -Rollen ohne jegliche Anmeldeinformationen erlangen.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.