PT-2026-55915 · Adiss · Biloop
Jean-Michel Junod
·
Publicado
2026-07-06
·
Atualizado
2026-07-06
·
CVE-2026-12686
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:N |
Nome do Software Vulnerável e Versões Afetadas
O nome do produto não pôde ser determinado (versões afetadas não especificadas)
Descrição
Um usuário autenticado pode realizar um bypass de autorização cross-tenant ao manipular um parâmetro de ID da empresa em uma requisição POST para o backend. A aplicação não verifica adequadamente se o ID da empresa solicitado está associado à sessão do usuário autenticado. Essa falha permite o acesso não autorizado a informações confidenciais de clientes, como dados de faturamento, e pode permitir a modificação não autorizada de dados de terceiros dentro do mesmo ambiente de subdomínio. O parâmetro vulnerável é
company ID.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Biloop