CVE-2026-40904 in Chartbrew
Tóm tắt
Bởi VulDB • 23/05/2026
Chartbrew là một ứng dụng web mã nguồn mở có thể kết nối trực tiếp với cơ sở dữ liệu và API, sau đó sử dụng dữ liệu để tạo biểu đồ. Trong phiên bản 4.9.0, Chartbrew công khai nhiều điểm cuối (endpoint) dataset và dataRequest, cho phép các thành viên dự án có đặc quyền thấp ở cấp độ nhóm được ủy quyền thay vì ràng buộc dataset_id, dataRequest_id và connection_id được yêu cầu với các dự án mà người gọi được phép truy cập. Một kẻ tấn công đã xác thực, chỉ có quyền truy cập vào một dự án trong nhóm, có thể đọc, thực thi, tạo, cập nhật và xóa các dataset và yêu cầu dữ liệu thuộc về các dự án khác trong cùng nhóm. Lỗ hổng này có thể bị khai thác từ xa bằng thông tin đăng nhập cấp dự án thông thường và dẫn đến việc tiết lộ dữ liệu xuyên dự án cũng như sử dụng trái phép các kết nối cơ sở dữ liệu hoặc API phía nạn nhân. Lỗ hổng này đã được vá trong phiên bản 5.0.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.