CVE-2026-40904 in Chartbrew
요약
\~에 의해 VulDB • 2026. 05. 23.
Chartbrew는 데이터베이스 및 API에 직접 연결하여 데이터를 차트로 생성할 수 있는 오픈소스 웹 애플리케이션입니다. 버전 4.9.0에서 Chartbrew는 여러 dataset 및 dataRequest 엔드포인트를 노출하며, 요청된 dataset_id, dataRequest ID 및 connection_id를 호출자의 허용된 프로젝트에 바인딩하는 대신 팀 수준에서 낮은 권한을 가진 프로젝트 구성원을 인증합니다. 팀 내 하나의 프로젝트에만 접근 권한이 있는 인증된 공격자는 동일한 팀 내 다른 프로젝트에 속한 데이터셋 및 데이터 요청을 읽기, 실행, 생성, 업데이트 및 삭제할 수 있습니다. 이 문제는 일반적인 프로젝트 수준의 자격 증명으로 원격에서 악용될 수 있으며, 프로젝트 간 데이터 유출과 피해자 측 데이터베이스 또는 API 연결의 무단 사용을 초래합니다. 이 문제는 버전 5.0.0에서 패치되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.