CVE-2026-37504 in V2Boardinformação

Sumário

de VulDB • 27/05/2026

Token de servidor sensível exposto por meio de parâmetro GET no V2Board até a versão 1.7.4. Em app/Http/Controllers/Server/UniProxyController.php, o token de autenticação do servidor é aceito por meio da transmissão de parâmetro GET. O token aparece em URLs como /api/v1/server/UniProxy/user?token=SECRET, fazendo com que seja registrado nos logs de acesso do servidor web, no histórico do navegador, nos cabeçalhos HTTP Referer e nos logs de proxy/CDN. Um atacante que obtenha acesso a qualquer fonte de log pode extrair o token e se passar por um nó de servidor proxy, potencialmente interceptando todo o tráfego dos usuários.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

MITRE

Reservar

06/04/2026

Divulgação

01/05/2026

Moderação

aceite

Entrada

VDB-360715

CPE

pronto

CWE

CWE-200 (confirmado)

CVSS

4.3 (VulDB)

EPSS

0.00056

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-37504
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-37504
CVE Details	https://www.cvedetails.com/cve/CVE-2026-37504/

◂ Voltar Visão Geral Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!