CVE-2026-32252

Name of the Vulnerable Software and Affected Versions Chartbrew versões anteriores a 4.9.0

Description Chartbrew é um aplicativo web que se conecta a bancos de dados e APIs para criar gráficos. Existe um bypass de autorização entre tenants no endpoint GET /team/:team id/template/generate/:project id. O handler chama checkAccess(req, "updateAny", "chart") sem aguardar a promise, e não verifica se o project id fornecido pertence ao time solicitante. Isso permite que um atacante autenticado com permissões de geração de template em seu próprio time solicite dados de template para um projeto pertencente a outro time e receba dados do projeto da vítima.

Recommendations Atualize para a versão 4.9.0 ou posterior.