CVE-2026-44221

Nome do Software Vulnerável e Versões Afetadas ArcadeDB versões anteriores a 26.4.2

Descrição Usuários autenticados e tokens de API limitados a um banco de dados específico podem ler, gravar e alterar o esquema de qualquer outro banco de dados no mesmo servidor. Isso ocorre devido a dois defeitos: primeiro, a função getDatabaseUser() em ServerSecurityUser retorna um usuário de banco de dados com um fileAccessMap não inicializado, que o requestAccessOnFile interpreta como permissão total. Segundo, a função createDatabase() em ArcadeDBServer não chama factory.setSecurity(...), o que significa que qualquer banco de dados criado através do endpoint "/api/v1/server" usando o parâmetro command definido como "create database X" tem seu sistema de autorização a nível de registro desativado. Juntos, esses problemas permitem que qualquer principal autenticado ignore a autorização a nível de registro e de banco de dados.

Recomendações Atualize para a versão 26.4.2.