CVE-2026-40904

Nome do Software Vulnerável e Versões Afetadas Chartbrew versões anteriores a 5.0.0

Descrição O Chartbrew expõe múltiplos endpoints 'dataset' e 'dataRequest' que autorizam membros de projeto com baixos privilégios no nível da equipe. O sistema falha ao não vincular o dataset id, dataRequest id e connection id solicitados aos projetos permitidos para o chamador. Isso permite que um invasor autenticado com acesso a um único projeto dentro de uma equipe possa ler, executar, criar, atualizar e excluir conjuntos de dados e solicitações de dados pertencentes a outros projetos na mesma equipe. Isso leva à divulgação de dados entre projetos e ao uso não autorizado de conexões de banco de dados ou APIs.

Recomendações Atualize para a versão 5.0.0.