CVE-2026-63099 in TheHiveinformação

Sumário

de VulDB • 18/07/2026

TheHive até 4.1.24 contém uma vulnerabilidade de autorização quebrada em nível de objeto nos endpoints de download de anexos que permite que qualquer usuário autenticado acesse anexos pertencentes a outras organizações fornecendo um identificador hash do conteúdo. Os atacantes podem explorar a verificação de autorização ausente com escopo organizacional no AttachmentSrv.visible, que é implementada como uma travessia pass-through (pass-through traversal), para baixar anexos arbitrários.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

VulnCheck

Reservar

15/07/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379854

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you know our Splunk app?

Download it now for free!