Katalog CVE

CVE-2026-13534

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W CherryHQ cherry-studio do wersji 1.9.7 wykryto podatność w funkcji sha256 pliku MemoryService.ts komponentu CherryIN Preload API. Manipulacja argumentem state prowadzi do obejścia autoryzacji.

Ocena ryzyka

Atak zdalny o wysokiej złożoności może pozwolić nieautoryzowanemu użytkownikowi na ominięcie mechanizmów kontroli dostępu, co grozi naruszeniem poufności lub integralności danych.

Rekomendacja

Należy natychmiast zaktualizować cherry-studio do wersji 2.0 lub nowszej, jeśli dostępna, lub zastosować tymczasowe zabezpieczenia ograniczające dostęp do API CherryIN Preload.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was detected in CherryHQ cherry-studio up to 1.9.7. This affects the function sha256 of the file src/main/services/memory/MemoryService.ts of the component CherryIN Preload API. Performing a manipulation of the argument state results in authorization bypass. The attack can be initiated remotely. The attack's complexity is rated as high. It is indicated that the exploitability is difficult. The exploit is now public and may be used. The vendor explains, that "[m]emory is planned to be removed in v2 version."

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS