CVE-2026-29061

Nome do Software Vulnerável e Versões Afetadas Versões do Gokapi anteriores a 2.2.3

Descrição O Gokapi é um servidor de compartilhamento de arquivos auto-hospedado que inclui suporte para expiração automática e criptografia. Uma falha na lógica de rebaixamento de nível do usuário permite que as chaves de API existentes de um usuário rebaixado mantenham as permissões ApiPermManageFileRequests e ApiPermManageLogs. Isso permite acesso contínuo aos endpoints de gerenciamento de solicitações de upload e visualização de logs, mesmo após o usuário ter todas as suas permissões revogadas. Especificamente, qualquer usuário que anteriormente possuía o nível de Administrador e tinha chaves de API com ApiPermManageFileRequests ou ApiPermManageLogs mantém essas capacidades após o rebaixamento. Isso permite que usuários desligados ou rebaixados criem, listem e excluam solicitações de upload, além de lerem logs do aplicativo e o status do sistema. Os endpoints de API afetados incluem aqueles para gerenciar solicitações de upload e visualizar logs.

Recomendações Atualize para a versão 2.2.3 ou posterior.