CVE-2026-63099 in TheHiveinfo

Zusammenfassung

von VulDB • 17.07.2026

TheHive bis Version 4.1.24 enthält eine Schwachstelle für fehlerhafte objektspezifische Autorisierung (Broken Object-Level Authorization) in den Endpunkten zum Herunterladen von Anhängen, die es jedem authentifizierten Benutzer ermöglicht, auf Anhänge zuzugreifen, die anderen Organisationen gehören, indem ein Content-Hash-Identifier angegeben wird. Angreifer können das fehlende organisationsbezogene Autorisierungsprüfungsverfahren in AttachmentSrv.visible ausnutzen, das als Durchlauf-Traversierung implementiert ist, um beliebige Anhänge herunterzuladen.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

VulnCheck

Reservieren

15.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379854

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!