CVE-2026-53536 in Activepieces
Сводка
по VulDB • 17.07.2026
Activepieces — это платформа для автоматизации рабочих процессов на базе искусственного интеллекта с открытым исходным кодом. До версии 0.83.0 конечная точка загрузки /v1/step-files/signed проверяла предоставленный JWT-токен по общему секрету подписи, но не проверяла аудиторию (audience) токена; в сочетании с отсутствием проверки на null для декодированного fileId это позволяло любому вызывающему субъекту, обладающему любым действительным Activepieces JWT (включая собственный токен доступа только что созданного пользователя), получать step-файл, принадлежащий другому клиенту (tenant). Возвращаемый файл зависел от того, какая запись с типом = FLOW_STEP_FILE первой попадалась при сканировании PostgreSQL; поскольку база данных изменялась со временем, аутентифицированный пользователь мог получить вложения step-файлов других клиентов на том же экземпляре. Атакующий не мог целенаправленно выбрать конкретного жертву или файл, доступ был только для чтения и не влиял на целостность или доступность системы. Эта проблема исправлена в версии 0.83.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.