CVE-2026-49141

Nome do Software Vulnerável e Versões Afetadas WACRM versões anteriores ao commit 73041bf

Description Existe uma falha de bypass de autorização no mecanismo de automação que permite que atacantes autenticados acessem e modifiquem contatos pertencentes a outros locatários (tenants). Ao fornecer um contact id arbitrário no corpo de uma requisição 'POST', os atacantes podem ignorar a verificação de propriedade do locatário. Isso é feito explorando o cliente de função de serviço (service-role), que ignora a segurança em nível de linha (um recurso de segurança que restringe quais linhas de dados um usuário pode ver ou modificar com base em sua identidade), permitindo a modificação de campos de contato da vítima, como nome, e-mail e empresa, entre diferentes locatários usando um UUID de contato conhecido.

Recommendations Atualize o WACRM para o commit 73041bf ou uma versão posterior.