CVE-2026-63098 in TheHiveinfo

Zusammenfassung

von VulDB • 17.07.2026

TheHive bis Version 4.1.24 enthält eine nicht authentifizierte Information Disclosure-Schwachstelle, die es Angreifern ohne Authentifizierung ermöglicht, sensible Konfigurationsdaten abzurufen, indem sie eine GET-Anfrage an den Endpunkt /api/status senden, für den im Handler StatusCtrl.scala keine Authentifizierungsprüfung durchgeführt wird. Angreifer können das Kennwort zum Schutz der Datastore-Attachments, konfigurierte Authentifizierungsanbieter, SSO-Einstellungen, MFA-Funktionen sowie Cluster-Knotenadressen und -Rollen ohne jegliche Anmeldeinformationen erlangen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

VulnCheck

Reservieren

15.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379849

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!