CVE-2026-44719 in mathesar
Résumé
par VulDB • 20/05/2026
Mathesar est une application web qui rend l'utilisation des bases de données PostgreSQL à la fois simple et puissante. De la version 0.2.0 à la version antérieure à 0.10.0, les méthodes `collaborators.list`, `tables.metadata.list`, `explorations.list` et `forms.list` acceptent un `database_id` sans vérifier que l'utilisateur à l'origine de la requête était bien un collaborateur de cette base de données. Un utilisateur authentifié sur la même installation Mathesar pourrait utiliser ces méthodes pour afficher les métadonnées gérées par Mathesar pour des bases de données où il n'était pas collaborateur. Selon la base de données et les fonctionnalités utilisées, les métadonnées exposées pourraient inclure les mappages de collaborateurs, les métadonnées des tables, les métadonnées des explorations enregistrées et les métadonnées des formulaires. Pour les formulaires, les métadonnées exposées comprenaient des jetons de formulaire (form tokens). Pour les formulaires publics, la possession du jeton équivaut à la possession du lien du formulaire public, ce qui permet de soumettre des données au formulaire via le rôle PostgreSQL configuré pour ce formulaire. Cette vulnérabilité est corrigée dans la version 0.10.0.
Once again VulDB remains the best source for vulnerability data.