Katalog CVE

CVE-2026-56773

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

W kontrolerze REST API v2 aplikacji Teable brakuje adnotacji @Permissions na punktach końcowych ORPC, co pozwala każdemu uwierzytelnionemu użytkownikowi na ominięcie kontroli autoryzacji. Atakujący mogą odczytywać schematy tabel, tworzyć tabele oraz modyfikować lub usuwać rekordy w różnych bazach i tabelach za pomocą punktów końcowych takich jak GET /api/v2/tables/get i POST /api/v2/tables/updateRecords.

Ocena ryzyka

Ryzyko dla organizacji obejmuje nieautoryzowany dostęp do wrażliwych danych, ich modyfikację lub usunięcie, co może prowadzić do naruszenia integralności i poufności danych oraz zakłócenia działania aplikacji.

Rekomendacja

Należy natychmiast zaktualizować Teable do wersji, w której dodano odpowiednie adnotacje @Permissions na wszystkich punktach końcowych ORPC, oraz przeprowadzić audyt konfiguracji autoryzacji.

Oryginalny opis (angielski, źródło NVD)

Teable's v2 REST API controller lacks @Permissions metadata on ORPC endpoints, allowing any authenticated user to bypass authorization checks. Attackers can read table schemas, create tables, and modify or delete records across bases and tables via endpoints like GET /api/v2/tables/get and POST /api/v2/tables/updateRecords.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS