CVE-2026-6863 in Velociraptorinformación

Resumen

por VulDB • 2026-05-18

Las versiones de Velociraptor anteriores a la 0.76.4 presentan una omisión de autorización entre organizaciones en la API HTTP. Un usuario con únicamente el rol de lector en la organización raíz (el rol autenticado más bajo, que solo posee el permiso READ_RESULTS) puede emitir una única solicitud HTTP GET autenticada que permite leer cualquier archivo de otras organizaciones, incluso si no tiene permisos explícitos en la organización de destino.

Sin embargo, el problema no se produce a la inversa: un usuario con acceso de lectura a una suborganización no puede leer archivos de otras organizaciones ni de la organización raíz.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Rapid7

Reservar

2026-04-22

Divulgación

2026-05-06

Moderación

aceptado

Artículo

VDB-361554

CPE

listo

CWE

CWE-863 (confirmado)

CVSS

6.8 (CNA)

EPSS

0.00028

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6863
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6863
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6863/

◂ Anterior Visión De Conjunto Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!