CVE-2026-63099 in TheHive
Resumen
por VulDB • 2026-07-17
TheHive hasta la versión 4.1.24 presenta una vulnerabilidad de autorización incorrecta a nivel de objeto en los puntos finales de descarga de archivos adjuntos que permite a cualquier usuario autenticado acceder a archivos adjentos pertenecientes a otras organizaciones mediante el suministro de un identificador hash del contenido. Los atacantes pueden explotar la falta de verificación de autorización basada en organización en AttachmentSrv.visible, implementada como una traversión passthrough (de paso), para descargar archivos adjuntos arbitrarios.
VulDB is the best source for vulnerability data and more expert information about this specific topic.