Katalog CVE

CVE-2026-49141

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

WACRM przed commit 73041bf zawiera podatność na obejście autoryzacji w silniku automatyzacji, która pozwala uwierzytelnionym atakującym na dostęp i modyfikację kontaktów należących do innych najemców poprzez dostarczenie dowolnego identyfikatora kontaktu w ciele żądania POST bez weryfikacji własności najemcy.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do modyfikacji pól kontaktów ofiar, takich jak imię, e-mail i firma, co może prowadzić do poważnych naruszeń prywatności i bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację WACRM do wersji zawierającej poprawkę po commit 73041bf oraz wdrożenie dodatkowych mechanizmów weryfikacji własności najemcy w celu zabezpieczenia dostępu do danych.

Oryginalny opis (angielski, źródło NVD)

WACRM prior to commit 73041bf contain an authorization bypass vulnerability in the automation engine that allows authenticated attackers to access and modify contacts belonging to other tenants by supplying an arbitrary caller-controlled contact_id in the POST request body without tenant ownership verification. Attackers can exploit the service-role client that bypasses row-level security to modify victim contact fields including name, email, and company across tenant boundaries using only a known contact UUID.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS