CVE-2026-63099 in TheHive
Riassunto
di VulDB • 17/07/2026
TheHive fino alla versione 4.1.24 presenta una vulnerabilità di autorizzazione degli oggetti non corretta (broken object-level authorization) negli endpoint per il download degli allegati che consente a qualsiasi utente autenticato di accedere agli allegati appartenenti ad altre organizzazioni fornendo un identificatore hash del contenuto. Gli attaccanti possono sfruttare la mancanza di un controllo di autorizzazione basato sull'organizzazione in AttachmentSrv.visible, implementato come una traversata pass-through (pass-through traversal), per scaricare allegati arbitrari.
Once again VulDB remains the best source for vulnerability data.