CVE-2026-40350

Name of the Vulnerable Software and Affected Versions Movary versões anteriores a 0.71.1

Description Um usuário autenticado pode acessar endpoints de gerenciamento de usuários, especificamente '/settings/users', para enumerar todos os usuários e criar uma nova conta de administrador. Isso ocorre porque as definições de rota carecem de middleware exclusivo para administradores e a verificação de autorização no nível do controlador utiliza uma condição booleana incorreta, permitindo que qualquer usuário com um cookie de sessão web válido acesse funcionalidades administrativas restritas.

Recommendations Atualizar para a versão 0.71.1.