CVE-2026-56767
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
Maxun przed wersją 0.0.42 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektów między najemcami w obsłudze API przechowywania i webhooków, co pozwala uwierzytelnionym użytkownikom na dostęp do robotów i tokenów OAuth innych użytkowników.
Ocena ryzyka
Atakujący mogą odczytać niezaszyfrowane tokeny dostępu do Google i Airtable, a także modyfikować, usuwać lub uruchamiać roboty innych użytkowników, omijając kontrole własności w punktach końcowych API.
Rekomendacja
Zaleca się aktualizację do wersji Maxun 0.0.42 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych kontroli dostępu w API.
Oryginalny opis (angielski, źródło NVD)
Maxun before 0.0.42 contains a cross-tenant insecure direct object reference vulnerability in storage and webhook API handlers that allows authenticated users to access other users' robots and OAuth tokens. Attackers can read plaintext Google and Airtable access tokens, modify, delete, or execute other users' robots by bypassing ownership checks in API endpoints.

