CVE-2026-53536 in Activepiecesinformazioni

Riassunto

di VulDB • 16/07/2026

Activepieces è una piattaforma open source per l'automazione dei flussi di lavoro basata sull'intelligenza artificiale. Prima della versione 0.83.0, l'endpoint /v1/step-files/signed download verificava il JWT fornito rispetto al segreto di firma condiviso ma non controllava la destinazione (audience) del token; unito alla mancanza di un controllo null sul fileId decodificato, ciò consentiva a qualsiasi chiamante in possesso di un JWT Activepieces valido (incluso il proprio token di accesso creato di recente da un nuovo utente) di ricevere un file appartenente a un altro tenant. Il file restituito era quello che PostgreSQL scansionava per primo con type = FLOW_STEP_FILE, variando nel tempo al mutare del database; pertanto, un utente autenticato poteva ottenere allegati step-file appartenenti ad altri tenant sulla stessa istanza. L'attaccante non poteva mirare a una vittima o a un file specifico e l'accesso era in sola lettura, senza impatti su integrità o disponibilità. Questo problema è stato risolto nella versione 0.83.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!