CVE-2026-44719 in mathesarinformación

Resumen

por VulDB • 2026-05-24

Mathesar es una aplicación web que facilita el trabajo con bases de datos PostgreSQL, haciéndolo sencillo y potente. Desde la versión 0.2.0 hasta antes de la 0.10.0, los métodos `collaborators.list`, `tables.metadata.list`, `explorations.list` y `forms.list` aceptan un `database_id` sin verificar que el usuario solicitante fuera colaborador de dicha base de datos. Un usuario autenticado en la misma instalación de Mathesar podría utilizar estos métodos para ver los metadatos gestionados por Mathesar de bases de datos en las que no era colaborador. Dependiendo de la base de datos y de las características en uso, los metadatos expuestos podrían incluir asignaciones de colaboradores, metadatos de tablas, metadatos de exploraciones guardadas y metadatos de formularios. En el caso de los formularios, los metadatos expuestos incluían tokens de formulario. Para formularios públicos, la posesión del token equivale a la posesión del enlace del formulario público, lo que permite enviar datos al formulario bajo el rol de PostgreSQL configurado para el formulario. Esta vulnerabilidad se corrige en la versión 0.10.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-07

Divulgación

2026-05-15

Moderación

aceptado

Artículo

VDB-364234

CPE

listo

EPSS

0.00043

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44719
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44719
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44719/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!