CVE-2026-38587

Nome do Software Vulnerável e Versões Afetadas ONLYOFFICE DocSpace versões anteriores a 3.2.1

Descrição Uma falha de Referência Direta Insegura a Objeto (IDOR) existe em múltiplos endpoints de API REST. Isso permite que usuários autenticados com permissões de baixo nível, como Usuário ou Convidado, recuperem informações sensíveis, incluindo o identificador único (ID) do Proprietário e informações de perfil, que deveriam ser acessíveis apenas a administradores. IDOR é um tipo de falha de controle de acesso que ocorre quando uma aplicação usa entradas fornecidas pelo usuário para acessar objetos diretamente sem as verificações de autorização adequadas.

Recomendações Atualizar para a versão 3.2.1.