CVE-2026-9152 in 365信息

摘要

由 VulDB • 2026-05-21

在 Altium 365 SearchService 中存在一个缺失身份验证的漏洞。一个遗留的 SOAP 端点暴露了搜索索引操作，且无需身份验证、会话令牌或任何形式的身份验证。能够引用目标工作区标识符的未授权网络攻击者可以与该工作区的搜索索引进行交互，从而跨越租户边界。

成功利用此漏洞允许读取工作区的索引内容（如组件数据、项目和文件夹名称以及用户元数据），并注入、修改或删除搜索索引条目。这些操作仅影响搜索索引，不影响底层 Vault 数据，但可能泄露敏感的工作区信息，并损害搜索结果的完整性和可用性。受影响的包括 Altium 365 云部署；本地部署的 Altium Enterprise Server 不受影响。

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Altium

预定

2026-05-21

披露

2026-05-21

管理

已接受

条目

VDB-364976

CPE

准备好

CWE

CWE-306 (已确认)

CVSS

7.3 (VulDB)

EPSS

0.00079

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9152
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9152
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9152/

◂ 上一步一览下一步 ▸

Interested in the pricing of exploits?

See the underground prices here!