PT-2026-53997 · Unknown · Yudao-Cloud

George Chen

·

Publicado

2026-06-30

·

Atualizado

2026-06-30

·

CVE-2026-58448

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas yudao-cloud versões anteriores a 2026.06
Description Um problema de controle de acesso quebrado existe no módulo BPM. Um usuário autenticado pode acessar registros arbitrários de instâncias de processo ao fornecer um identificador de instância de processo controlado pelo chamador a um endpoint GET desprotegido que carece da anotação @PreAuthorize. Isso permite a recuperação de dados sensíveis de fluxo de trabalho, como variáveis de formulário enviadas, identidades de aprovadores, comentários de aprovação e rejeição, e XML BPMN do processo, sem a verificação de propriedade ou da parte do locatário.
Recommendations Atualize o yudao-cloud para a versão 2026.06 ou posterior.

Exploit

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58448

Produtos afetados

Yudao-Cloud