CVE-2026-56781
ŚrednieCVSS 5.3Streszczenie
Podatność w Teable przed wersją z 15 czerwca 2026 roku umożliwia anonimowym atakującym dostęp do ukrytych danych pól poprzez podanie dowolnych identyfikatorów pól w parametrze projekcji endpointu widoku udostępnionego. Atakujący mogą wyliczyć identyfikatory ukrytych pól z metadanych udostępnienia i odczytać wartości pól, które powinny być niedostępne publicznie.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym ujawnieniu poufnych danych przechowywanych w ukrytych polach, co może prowadzić do wycieku informacji biznesowych lub danych osobowych.
Rekomendacja
Należy niezwłocznie zaktualizować Teable do wersji z 15 czerwca 2026 roku lub nowszej, która zawiera poprawkę usuwającą lukę w kontroli dostępu.
Oryginalny opis (angielski, źródło NVD)
Teable before 2026-06-15T04-43-24Z.1912 contains an improper access control vulnerability that allows anonymous attackers to access hidden field data by supplying arbitrary field IDs in the projection parameter of the share view records endpoint. Attackers can enumerate hidden field IDs from share metadata and specify them in projection parameters to read field values that are intended to be restricted from public view.

