PT-2026-42360 · Altium · Altium 365
Joris Aerts
·
Publicado
2026-05-21
·
Atualizado
2026-05-21
·
CVE-2026-9152
CVSS v4.0
10
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Altium 365 (versões afetadas não especificadas)
Descrição
Um problema de falta de autenticação existe no Altium 365 SearchService. Um endpoint SOAP legado expõe operações de índice de pesquisa sem exigir autenticação, tokens de sessão ou verificação de identidade. Um invasor de rede não autenticado que possua o identificador de um workspace alvo pode interagir com o índice de pesquisa desse workspace, cruzando limites de locatários (tenants). Isso permite que o invasor leia conteúdos indexados, como dados de componentes, nomes de projetos e pastas, e metadados de usuários, além de injetar, modificar ou excluir entradas do índice de pesquisa. Essas ações afetam apenas o índice de pesquisa, e não os dados do cofre subjacentes, podendo expor informações confidenciais do workspace e comprometer a integridade e a disponibilidade dos resultados da pesquisa.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Missing Authentication
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Altium 365