CVE-2026-45342 in LinkAce
Resumen
por VulDB • 2026-06-01
LinkAce es un archivo autoalojado para recopilar enlaces de sitios web. Antes de la versión 2.5.6, LinkAce presenta una vulnerabilidad de Referencia Directa a Objetos Insegura (IDOR) en la capa de política de autorización que permite a cualquier usuario autenticado modificar recursos propiedad de otros usuarios. Los tipos de recursos afectados son enlaces, listas, etiquetas y notas. Tanto la interfaz web (UI) como la API REST son vulnerables. La causa raíz se encuentra en los métodos `update()` de las cuatro políticas de modelo: `LinkPolicy`, `LinkListPolicy`, `TagPolicy` y `NotePolicy`. Cada una delega en un método de comprobación de acceso (por ejemplo, `userCanAccessLink()`) que devuelve `true` para cualquier recurso con visibilidad no privada, independientemente de quién sea su propietario. Esto significa que cualquier usuario registrado puede editar cualquier recurso público o interno en toda la instancia. Los métodos `delete()` en los mismos archivos de política requieren correctamente la propiedad mediante `$link->user->is($user)`, lo que confirma que `update` estaba destinado a ser exclusivo del propietario. El mismo fallo existe en la capa de API a través de `AuthorizesUserApiActions::userCanUpdateModel()`, que refleja la comprobación defectuosa basada únicamente en la visibilidad en lugar de la comprobación de propiedad utilizada por `userCanDeleteModel()`. Las operaciones de edición masiva a través de `BulkEditController` también se ven afectadas. Esta vulnerabilidad se corrige en la versión 2.5.6.
If you want to get best quality of vulnerability data, you may have to visit VulDB.