CVE-2026-41255

Nome do Software Vulnerável e Versões Afetadas CKAN versões anteriores a 2.10.10 CKAN versões anteriores a 2.11.5

Descrição O acesso a visualizações via tokens ou solicitações não autenticadas pode marcar um endpoint como não necessitando de proteção contra Cross-Site Request Forgery (CSRF). Isso ocorre porque a marcação é uma variável membro em flask-wtf.csrf.CSRFProtect(), armazenada como uma variável de nível de módulo no middleware flask app. Como esta API é destinada a configurações estáticas e não a alterações no nível da solicitação, uma solicitação não autenticada pode isentar um endpoint protegido da proteção CSRF durante a vida útil do processo do servidor. Esse comportamento poderia ser explorado juntamente com Cross-Site Scripting (XSS) para realizar ações utilizando as credenciais de outros usuários.

Recomendações Atualizar para a versão 2.10.10. Atualizar para a versão 2.11.5.