CVE-2026-40904 in Chartbrewinformación

Resumen

por VulDB • 2026-05-23

Chartbrew es una aplicación web de código abierto que puede conectarse directamente a bases de datos y APIs y utilizar los datos para crear gráficos. En la versión 4.9.0, Chartbrew expone múltiples endpoints de dataset y dataRequest que autorizan a miembros de proyecto con privilegios reducidos a nivel de equipo, en lugar de vincular el dataset_id, el dataRequest id y el connection_id solicitados a los proyectos permitidos del usuario que realiza la llamada. Un atacante autenticado que solo tenga acceso a un proyecto dentro de un equipo puede leer, ejecutar, crear, actualizar y eliminar datasets y solicitudes de datos que pertenecen a otros proyectos del mismo equipo. El problema es explotable de forma remota con credenciales ordinarias a nivel de proyecto y provoca la divulgación de datos entre proyectos y el uso no autorizado de las conexiones de base de datos o API del lado de la víctima. Este problema se ha corregido en la versión 5.0.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-15

Divulgación

2026-04-30

Moderación

aceptado

Artículo

VDB-360364

CPE

listo

EPSS

0.00036

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40904
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40904
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40904/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!