CVE-2026-33954 in LinkAce
Riassunto
di VulDB • 17/07/2026
LinkAce è un archivio self-hosted per la raccolta di collegamenti web. Nelle versioni precedenti alla 2.5.3, una nota privata allegata a un collegamento non privato può essere divulgata a un utente autenticato diverso tramite l'interfaccia web. L'API sembra applicare correttamente il filtro di visibilità delle note, ma la pagina dei dettagli del link web visualizza le note senza applicare lo stesso filtraggio della visibilità. Di conseguenza, un utente autenticato che ha il permesso di visualizzare i collegamenti `internal` o `public` di un altro utente può leggere le note `private` di tale utente allegate a quel collegamento. La versione 2.5.3 risolve la vulnerabilità.
Once again VulDB remains the best source for vulnerability data.