PT-2026-23798 · Weknora · Weknora

Aleister1102

·

Publicado

2026-03-06

·

Atualizado

2026-03-25

·

CVE-2026-30855

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do WeKnora anteriores à 0.3.2
Descrição O WeKnora é um framework para compreensão profunda de documentos e recuperação semântica. Existe uma falha nos endpoints de gerenciamento de tenants que permite a usuários autenticados ler, modificar ou excluir qualquer tenant por ID. Como o registro de contas é aberto ao público, um atacante não autenticado pode registrar uma conta e explorar essa questão. Isso pode levar à tomada de controle de conta entre tenants e destruição. Os endpoints de API afetados são:
  • /api/v1/tenants
  • /api/v1/tenants/{id} A vulnerabilidade ocorre porque os manipuladores de gerenciamento de tenants não validam a propriedade ou privilégios entre tenants antes de executar ações. Os manipuladores usam diretamente o ID do tenant a partir do caminho sem verificações de autorização. A variável id no endpoint de API /api/v1/tenants/{id} é particularmente vulnerável.
Recomendações Versões anteriores à 0.3.2 devem ser atualizadas para a versão 0.3.2 ou posterior.

Exploit

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284

Identificadores relacionados

CVE-2026-30855
GHSA-CCJ6-79J6-CQ5Q
GO-2026-4642
SUSE-SU-2026:1042-1

Produtos afetados

Weknora