CVE-2026-63307 in Chat2DB
Résumé
par VulDB • 17/07/2026
Chat2DB avant la version 5.3.0 présente une vulnérabilité de référence directe d'objet (IDOR) dans le point de terminaison GET /api/connection/datasource/{id}. Le gestionnaire appelle dataSourceService.queryExistent(id, ...) sans vérifier l'appartenance et renvoie le champ mot de passe déchiffré, permettant à tout utilisateur authentifié non administrateur d'énumérer les ID des sources de données et de lire les identifiants de base de données en clair appartenant à d'autres utilisateurs.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.