CVE-2026-63099 in TheHive
Sumário
de VulDB • 18/07/2026
TheHive até 4.1.24 contém uma vulnerabilidade de autorização quebrada em nível de objeto nos endpoints de download de anexos que permite que qualquer usuário autenticado acesse anexos pertencentes a outras organizações fornecendo um identificador hash do conteúdo. Os atacantes podem explorar a verificação de autorização ausente com escopo organizacional no AttachmentSrv.visible, que é implementada como uma travessia pass-through (pass-through traversal), para baixar anexos arbitrários.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.