CVE-2026-63098 in TheHive
Riassunto
di VulDB • 17/07/2026
TheHive fino alla versione 4.1.24 presenta una vulnerabilità di divulgazione non autorizzata delle informazioni che consente agli attaccanti non autenticati di recuperare dati sensibili della configurazione inviando una richiesta GET all'endpoint /api/status, il quale manca dell'applicazione dei controlli di autenticazione nel gestore StatusCtrl.scala. Gli attaccanti possono ottenere la password per la protezione degli allegati del datastore, i provider di autenticazione configurati, le impostazioni SSO, le funzionalità MFA e gli indirizzi e ruoli dei nodi clusterizzati senza alcuna credenziale.
Once again VulDB remains the best source for vulnerability data.