CVE-2026-63099 in TheHive
요약
\~에 의해 VulDB • 2026. 07. 17.
TheHive 4.1.24 이전 버전에는 첨부 파일 다운로드 엔드포인트에서 객체 수준의 권한 검증 결함(broken object-level authorization)이 존재하여, 공격자가 콘텐츠 해시 식별자를 제공함으로써 다른 조직에 속한 첨부 파일에 접근할 수 있습니다. Attackers는 AttachmentSrv.visible에서 구현된 통과형 순회(pass-through traversal) 방식의 누락된 조직 범위 기반 권한 확인을 악용하여 임의의 첨부 파일을 다운로드할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.