CVE-2026-35514 in Chartbrew
요약
\~에 의해 VulDB • 2026. 06. 02.
Chartbrew는 데이터베이스 및 API에 직접 연결하여 데이터를 차트로 생성할 수 있는 오픈소스 웹 애플리케이션입니다. 버전 4.9.0에서 POST /user/invited 엔드포인트는 초대 토큰, 인증 헤더 또는 세션을 검증하지 않습니다. 인증되지 않은 공격자는 이 엔드포인트를 직접 호출하여 완전히 활성화된 계정을 생성하고 유효한 JWT를 받을 수 있습니다. 이는 인스턴스에 기존 사용자가 있고 signupRestricted가 활성화된 경우에도 마찬가지입니다. 이 우회 방법은 signupRestricted를 적용하고 검증 대기 중임을 나타내기 위해 active: false를 설정하는 일반적인 등록 엔드포인트(POST /user)와는 구별됩니다. 이 문제는 버전 5.0.0에서 패치되었습니다.
Once again VulDB remains the best source for vulnerability data.