PT-2026-48637 · Cerebrate · Cerebrate
Andras Iklody
+1
·
Publicado
2026-06-11
·
Atualizado
2026-06-11
·
CVE-2026-53911
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Cerebrate versões anteriores a 1.37
Description
Um invasor autenticado pode realizar a modificação não autorizada de registros ao fornecer o campo de chave primária
id por meio da entrada de solicitação durante operações de edição CRUD e fluxos específicos de patching de entidades personalizadas. Em entidades onde o id não está explicitamente marcado como inacessível, uma solicitação manipulada contendo o id de outro registro faz com que a operação de salvamento atualize esse registro não relacionado em vez do registro identificado pelo parâmetro da rota. Este problema afeta tipos de entidades com padrões de atribuição em massa permissivos, como User, Role, UserSetting, LocalTool, PermissionLimitation e EnumerationCollection. Como a funcionalidade de edição de UserSettings é acessível a qualquer usuário autenticado, isso pode levar a modificações não autorizadas de registros, dependendo dos campos graváveis e do endpoint utilizado.Recommendations
Atualizar para a versão 1.37.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cerebrate