CVE-2026-53536 in Activepieces情報

要約

〜によって VulDB • 2026年07月16日

Activepiecesは、オープンソースのAIワークフロー自動化プラットフォームです。バージョン0.83.0より前では、/v1/step-files/signedダウンロードエンドポイントが提供されたJWTを共有署名シークレットに対して検証していましたが、トークンのaudience(対象者)をチェックしませんでした。さらに、デコードされたfileIdに対するnullチェックの欠如と相まって、有効なActivepieces JWT(新規作成ユーザー自身のアクセストokenを含む)を持つ任意の呼び出し元が、他のテナントに属するステップファイルを受信することが可能でした。返されるファイルは、データベースの変更に応じて時間とともに変化するPostgreSQLによって最初にスキャンされたtype = FLOW_STEP_FILEに対応するものであったため、認証済みユーザーは同じインスタンス上の他のテナントに属するステップファイル添付ファイルを入手できましたが、攻撃者は特定の被害者やファイルを標的にすることはできず、アクセスは読み取り専用であり、整合性または可用性への影響はありません。この問題はバージョン0.83.0で修正されました。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年06月09日

モデレーション

承諾済み

エントリ

VDB-379623

EPSS

0.00000

アクティビティ

低い

ソース

Interested in the pricing of exploits?

See the underground prices here!