CVE-2026-42092

Nome do Software Vulnerável e Versões Afetadas titra versão 0.99.52

Descrição A publicação Meteor globalsettings retorna todas as configurações globais sem realizar verificações de administrador ou de função. Isso permite que qualquer usuário autenticado se inscreva via DDP (Distributed Data Protocol, um protocolo de comunicação em tempo real usado pelo Meteor) e recupere campos de configuração sensíveis, incluindo google secret, openai apikey e google clientid.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.