CVE-2026-35514

Nome do Software Vulnerável e Versões Afetadas Chartbrew versões anteriores a 5.0.0

Descrição O Chartbrew é uma aplicação web de código aberto utilizada para criar gráficos conectando-se a bases de dados e APIs. O endpoint "POST /user/invited" não valida tokens de convite, cabeçalhos de autenticação ou sessões. Isso permite que um atacante não autenticado chame o endpoint diretamente para criar uma conta totalmente ativa e obter um JWT (JSON Web Token) válido, que é um meio compacto e seguro para URLs de representar reivindicações a serem transferidas entre duas partes. Este processo ignora o endpoint de registo normal "POST /user", que normalmente impõe a configuração signupRestricted e requer verificação ao definir o estado da conta como active: false.

Recomendações Atualizar para a versão 5.0.0.