CVE-2026-63099 in TheHive情報

要約

〜によって VulDB • 2026年07月17日

TheHive 4.1.24以前には、添付ファイルのダウンロードエンドポイントにおいてオブジェクトレベルでの認可が正しく実装されていない脆弱性があります。これにより、認証済みユーザーであれば誰でもコンテンツハッシュ識別子を指定することで他の組織に属する添付ファイルにアクセスできます。攻撃者はAttachmentSrv.visibleにおける組織スコープの認可チェックの欠如を悪用し、これはパススルートラバーサルとして実装されているため、任意の添付ファイルをダウンロードすることができます。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

VulnCheck

予約する

2026年07月15日

モデレーション

承諾済み

エントリ

VDB-379854

EPSS

0.00000

アクティビティ

低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!