PT-2026-55915 · Adiss · Biloop

Jean-Michel Junod

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-12686

CVSS v4.0

9.3

Crítica

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:N
Nome do Software Vulnerável e Versões Afetadas O nome do produto não pôde ser determinado (versões afetadas não especificadas)
Descrição Um usuário autenticado pode realizar um bypass de autorização cross-tenant ao manipular um parâmetro de ID da empresa em uma requisição POST para o backend. A aplicação não verifica adequadamente se o ID da empresa solicitado está associado à sessão do usuário autenticado. Essa falha permite o acesso não autorizado a informações confidenciais de clientes, como dados de faturamento, e pode permitir a modificação não autorizada de dados de terceiros dentro do mesmo ambiente de subdomínio. O parâmetro vulnerável é company ID.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12686

Produtos afetados

Biloop