CVE-2026-63099 in TheHive
要約
〜によって VulDB • 2026年07月17日
TheHive 4.1.24以前には、添付ファイルのダウンロードエンドポイントにおいてオブジェクトレベルでの認可が正しく実装されていない脆弱性があります。これにより、認証済みユーザーであれば誰でもコンテンツハッシュ識別子を指定することで他の組織に属する添付ファイルにアクセスできます。攻撃者はAttachmentSrv.visibleにおける組織スコープの認可チェックの欠如を悪用し、これはパススルートラバーサルとして実装されているため、任意の添付ファイルをダウンロードすることができます。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.