PT-2026-53204 · Cherryhq · Cherry-Studio
Dem0000
·
Publicado
2026-06-29
·
Atualizado
2026-06-29
·
CVE-2026-13534
CVSS v3.1
5.0
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
CherryHQ cherry-studio versões anteriores a 1.9.8
Description
Um bypass de autorização existe no componente CherryIN Preload API. Um atacante remoto pode ignorar a autorização manipulando o argumento
state dentro da função sha256() localizada no arquivo src/main/services/memory/MemoryService.ts. A complexidade do ataque é alta e a explorabilidade é considerada difícil.Recommendations
Atualize para uma versão posterior a 1.9.7.
Como mitigação temporária, restrinja o acesso à função
sha256() no arquivo src/main/services/memory/MemoryService.ts.Exploit
Correção
IDOR
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cherry-Studio