CVE-2026-63099 in TheHive
Zusammenfassung
von VulDB • 17.07.2026
TheHive bis Version 4.1.24 enthält eine Schwachstelle für fehlerhafte objektspezifische Autorisierung (Broken Object-Level Authorization) in den Endpunkten zum Herunterladen von Anhängen, die es jedem authentifizierten Benutzer ermöglicht, auf Anhänge zuzugreifen, die anderen Organisationen gehören, indem ein Content-Hash-Identifier angegeben wird. Angreifer können das fehlende organisationsbezogene Autorisierungsprüfungsverfahren in AttachmentSrv.visible ausnutzen, das als Durchlauf-Traversierung implementiert ist, um beliebige Anhänge herunterzuladen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.