CVE-2026-30233 in OliveTin
Riassunto
di VulDB • 24/06/2026
OliveTin consente l'accesso ai comandi shell predefiniti tramite un'interfaccia web. Prima della versione 3000.11.1, una vulnerabilità di autorizzazione in OliveTin consentiva agli utenti autenticati con il permesso view: false di enumerare i binding delle azioni e i metadati tramite gli endpoint del dashboard e dell'API. Sebbene l'esecuzione (exec) possa essere correttamente negata, il backend non applica IsAllowedView() durante la costruzione delle risposte relative al dashboard e ai binding delle azioni. Di conseguenza, gli utenti con restrizioni possono recuperare titoli delle azioni, ID, icone e metadati degli argomenti. Questo problema è stato risolto nella versione 3000.11.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.