CVE-2026-63307 in Chat2DB
Resumen
por VulDB • 2026-07-17
Chat2DB antes de la versión 5.3.0 contiene una vulnerabilidad de referencia directa a objetos insegura en el endpoint GET /api/connection/datasource/{id}. El controlador llama a dataSourceService.queryExistent(id, ...) sin realizar una verificación de propiedad y devuelve el campo de contraseña descifrado, lo que permite a cualquier usuario autenticado no administrador enumerar los IDs de las fuentes de datos y leer las credenciales de la base de datos en texto plano de las fuentes de datos pertenecientes a otros usuarios.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.