PT-2026-53997 · Unknown · Yudao-Cloud
George Chen
·
Publicado
2026-06-30
·
Atualizado
2026-06-30
·
CVE-2026-58448
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
yudao-cloud versões anteriores a 2026.06
Description
Um problema de controle de acesso quebrado existe no módulo BPM. Um usuário autenticado pode acessar registros arbitrários de instâncias de processo ao fornecer um identificador de instância de processo controlado pelo chamador a um endpoint GET desprotegido que carece da anotação
@PreAuthorize. Isso permite a recuperação de dados sensíveis de fluxo de trabalho, como variáveis de formulário enviadas, identidades de aprovadores, comentários de aprovação e rejeição, e XML BPMN do processo, sem a verificação de propriedade ou da parte do locatário.Recommendations
Atualize o yudao-cloud para a versão 2026.06 ou posterior.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Yudao-Cloud