CVE-2026-43889 in OutlineИнформация

Сводка

по VulDB • 12.05.2026

Outline — это сервис, позволяющий совместно создавать документацию. До версии 1.7.0 API-метод shares.create принимает одновременно параметры collectionId и documentId, и при published=false проверяет только права на чтение для каждого из них, пропуская проверку разрешения «share» (совместный доступ). Последующий вызов shares.update разрешает публикацию по логике ИЛИ (can share collection ИЛИ can share document), поэтому злоумышленник, имеющий разрешение на совместный доступ к одному несвязанному набору документов, может опубликовать ссылку, раскрывающую произвольный документ, к которому у него нет законных прав на совместный доступ, сделав его общедоступным для неаутентифицированных пользователей. Эта уязвимость исправлена в версии 1.7.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

04.05.2026

Раскрытие

12.05.2026

Модерация

принято

Вход

VDB-362903

CPE

готов

CWE

CWE-863 (Подтверждённый)

CVSS

6.5 (CNA)

EPSS

0.00044

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43889
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43889
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43889/

◂ Предыдущий Обзор Далее ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!