Katalog CVE

CVE-2026-56767

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 — wyżej niż 25% wszystkich znanych CVE

Streszczenie

Maxun przed wersją 0.0.42 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektów między najemcami w obsłudze API przechowywania i webhooków, co pozwala uwierzytelnionym użytkownikom na dostęp do robotów i tokenów OAuth innych użytkowników.

Ocena ryzyka

Atakujący mogą odczytać niezaszyfrowane tokeny dostępu do Google i Airtable, a także modyfikować, usuwać lub uruchamiać roboty innych użytkowników, omijając kontrole własności w punktach końcowych API.

Rekomendacja

Zaleca się aktualizację do wersji Maxun 0.0.42 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych kontroli dostępu w API.

Oryginalny opis (angielski, źródło NVD)

Maxun before 0.0.42 contains a cross-tenant insecure direct object reference vulnerability in storage and webhook API handlers that allows authenticated users to access other users' robots and OAuth tokens. Attackers can read plaintext Google and Airtable access tokens, modify, delete, or execute other users' robots by bypassing ownership checks in API endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS