PT-2026-35500 · Mettle · Sendportal
B1Scuit
·
Publicado
2026-04-27
·
Atualizado
2026-04-28
·
CVE-2026-7145
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
mettle sendportal versões anteriores a 3.0.2
Descrição
Existe uma falha de bypass de autorização no componente Invitation Handler. Um invasor remoto pode manipular o argumento
invitation dentro da função destroy() do arquivo 'app/Http/Controllers/Workspaces/WorkspaceInvitationsController.php' para ignorar os controles de autorização.Recomendações
Atualize para uma versão posterior à 3.0.1.
Como medida paliativa temporária, restrinja o acesso à função
destroy() no arquivo 'app/Http/Controllers/Workspaces/WorkspaceInvitationsController.php'.Correção
Improper Authorization
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sendportal