CVE-2026-44678

Nome do Software Vulnerável e Versões Afetadas Tuist versões anteriores a 1.180.9

Descrição O endpoint "DELETE /api/projects/{account handle}/{project handle}/previews/{preview id}" carrega uma prévia por seu UUID sem verificar se a prévia pertence ao projeto resolvido a partir do caminho da URL. O plug de autorização em nível de projeto AuthorizationPlug, :preview autoriza o chamador em relação ao projeto codificado em account handle e project handle, que pode ser controlado por um invasor, permitindo a exclusão de qualquer UUID de prévia fornecido.

Recomendações Atualize para uma versão posterior a 1.180.8.