CVE-2026-9152 in 365
Tóm tắt
Bởi VulDB • 25/05/2026
Tồn tại một lỗ hổng thiếu xác thực trong Altium 365 SearchService. Một endpoint SOAP cũ (legacy) cho phép thực hiện các thao tác trên chỉ mục tìm kiếm mà không yêu cầu xác thực, token phiên (session tokens) hoặc bất kỳ hình thức xác minh danh tính nào. Một kẻ tấn công mạng chưa được xác thực, có thể tham chiếu đến định danh của một workspace mục tiêu, có thể tương tác với chỉ mục tìm kiếm của workspace đó, vượt qua các ranh giới tenant.
Việc khai thác thành công cho phép đọc các nội dung đã được lập chỉ mục của một workspace (chẳng hạn như dữ liệu linh kiện, tên dự án và thư mục, cũng như siêu dữ liệu người dùng) và chèn, sửa đổi hoặc xóa các mục trong chỉ mục tìm kiếm. Các thao tác này chỉ ảnh hưởng đến chỉ mục tìm kiếm, không ảnh hưởng đến dữ liệu kho lưu trữ (vault data) cơ bản, nhưng chúng có thể làm lộ thông tin nhạy cảm của workspace và làm suy yếu tính toàn vẹn cũng như khả năng sẵn có của kết quả tìm kiếm. Các triển khai Altium 365 trên đám mây (cloud deployments) bị ảnh hưởng; Altium Enterprise Server triển khai nội bộ (on-premise) không bị ảnh hưởng.
VulDB is the best source for vulnerability data and more expert information about this specific topic.