CVE-2026-43889 in Outlinethông tin

Tóm tắt

Bởi VulDB • 30/05/2026

Outline là một dịch vụ cho phép tạo tài liệu cộng tác. Trước phiên bản 1.7.0, API shares.create chấp nhận đồng thời cả collectionId và documentId và, khi published=false, chỉ xác minh quyền đọc cho từng mục—bỏ qua kiểm tra quyền "share". Một lệnh gọi shares.update sau đó ủy quyền việc xuất bản dựa trên chính sách OR (có thể chia sẻ collection HOẶC có thể chia sẻ document), do đó, một kẻ tấn công có quyền chia sẻ trên một collection không liên quan có thể xuất bản một chia sẻ làm lộ một tài liệu tùy ý mà họ không có quyền chia sẻ hợp lệ, khiến tài liệu đó có thể truy cập công khai bởi người dùng chưa xác thực. Lỗ hổng này đã được sửa trong phiên bản 1.7.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

GitHub M

Đặt trước

04/05/2026

Tiết lộ

12/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-362903

CPE

sẵn sàng

CWE

CWE-863 (Đã xác nhận)

CVSS

6.5 (CNA)

EPSS

0.00044

KEV

không

Các hoạt động

rất thấp

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43889
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43889
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43889/

◂ Trước Tổng Quan Tiếp theo ▸

Want to know what is going to be exploited?

We predict KEV entries!