Sysreptor · Sysreptor · CVE-2026-42291
**Nome do Software Vulnerável e Versões Afetadas**
SysReptor versões 2026.4 até 2026.26
**Descrição**
Uma autorização inadequada nos endpoints utilizados para ler e criar links de compartilhamento de notas pessoais permite que atacantes autenticados, ao obterem o ID da nota de uma vítima, listem e criem links de compartilhamento para essas notas. Isso resulta em acesso não autorizado de leitura e escrita às notas pessoais de outros usuários. Este problema afeta as edições Professional e Community, embora não tenha impacto prático na edição Community, pois todos os usuários possuem permissões de superusuário e já podem listar notas pessoais através do endpoint '/admin/pentests/usernotebookpage/'.
**Recomendações**
Atualizar para a versão 2026.27.