CVE-2026-35023
MediumCVSS 4.3Summary
W wersjach Wimi Teamwork On-Premises przed 8.2.0 występuje podatność na nieautoryzowany dostęp do obiektów w punkcie końcowym preview.php, gdzie parametr item_id nie jest odpowiednio zabezpieczony. Atakujący mogą enumerować sekwencyjne wartości item_id, aby uzyskać dostęp do podglądów obrazów z prywatnych lub grupowych rozmów innych użytkowników.
Risk Assessment
Organizacja narażona jest na nieautoryzowane ujawnienie wrażliwych informacji, co może prowadzić do naruszenia prywatności użytkowników oraz utraty zaufania do systemu.
Recommendation
Zaleca się aktualizację Wimi Teamwork On-Premises do wersji 8.2.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów autoryzacji dla parametrów w punktach końcowych.
Original NVD description (English source)
Wimi Teamwork On-Premises versions prior to 8.2.0 contain an insecure direct object reference vulnerability in the preview.php endpoint where the item_id parameter lacks proper authorization checks. Attackers can enumerate sequential item_id values to access and retrieve image previews from other users' private or group conversations, resulting in unauthorized disclosure of sensitive information.

