Wacrm · Wacrm · CVE-2026-49141
**Nome do Software Vulnerável e Versões Afetadas**
WACRM versões anteriores ao commit 73041bf
**Description**
Existe uma falha de bypass de autorização no mecanismo de automação que permite que atacantes autenticados acessem e modifiquem contatos pertencentes a outros locatários (tenants). Ao fornecer um `contact id` arbitrário no corpo de uma requisição 'POST', os atacantes podem ignorar a verificação de propriedade do locatário. Isso é feito explorando o cliente de função de serviço (service-role), que ignora a segurança em nível de linha (um recurso de segurança que restringe quais linhas de dados um usuário pode ver ou modificar com base em sua identidade), permitindo a modificação de campos de contato da vítima, como nome, e-mail e empresa, entre diferentes locatários usando um UUID de contato conhecido.
**Recommendations**
Atualize o WACRM para o commit 73041bf ou uma versão posterior.