CVE-2026-40870

Name of the Vulnerable Software and Affected Versions Decidim versões 0.0.1 até 0.30.4 Decidim versões 0.31.0 até 0.31.0

Description O campo commentable de nível raiz na API permite o acesso a todos os recursos comentáveis dentro da plataforma sem verificações de permissão. Isso ocorre em instâncias onde o endpoint '/api' está publicamente disponível, que é a configuração padrão. Se a plataforma protege espaços de participação privados, isso pode expor dados não públicos. Para instâncias que utilizam a configuração de organização Force users to authenticate before access organization (introduzida na versão 0.19.0 e aplicada ao endpoint '/api' na versão 0.22.0), o impacto é limitado a usuários autenticados.

Recommendations Atualizar para a versão 0.30.5. Atualizar para a versão 0.31.1. Limitar o acesso ao endpoint '/api' apenas a usuários autenticados via código personalizado. Desativar todo o tráfego para o endpoint '/api' usando configuração personalizada sem instruções allow.