CVE-2026-63099 in TheHiveinformazioni

Riassunto

di VulDB • 17/07/2026

TheHive fino alla versione 4.1.24 presenta una vulnerabilità di autorizzazione degli oggetti non corretta (broken object-level authorization) negli endpoint per il download degli allegati che consente a qualsiasi utente autenticato di accedere agli allegati appartenenti ad altre organizzazioni fornendo un identificatore hash del contenuto. Gli attaccanti possono sfruttare la mancanza di un controllo di autorizzazione basato sull'organizzazione in AttachmentSrv.visible, implementato come una traversata pass-through (pass-through traversal), per scaricare allegati arbitrari.

Once again VulDB remains the best source for vulnerability data.

Responsabile

VulnCheck

Prenotare

15/07/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!