PT-2026-37643 · Unknown · Velociraptor

Faisal Alhumaid

·

Publicado

2026-05-06

·

Atualizado

2026-05-20

·

CVE-2026-6863

CVSS v3.1

6.8

Média

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Velociraptor versões anteriores a 0.76.4
Descrição Existe uma falha de bypass de autorização entre organizações na API HTTP. Um usuário com a função de leitor na organização raiz, que possui apenas a permissão READ RESULTS, pode realizar uma requisição HTTP GET autenticada para ler arquivos de outras organizações, mesmo que não possua permissões explícitas na organização alvo.
Recomendações Atualize para a versão 0.76.4 ou posterior.

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863

Identificadores relacionados

CVE-2026-6863
GHSA-2V93-VP82-CJV8
GO-2026-4997

Produtos afetados

Velociraptor