Katalog CVE

CVE-2026-58448

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Podatność w module BPM systemu yudao-cloud przed wersją 2026.06 umożliwia uwierzytelnionemu użytkownikowi dostęp do dowolnych instancji procesów poprzez podanie identyfikatora instancji w niechronionym punkcie końcowym GET. Brak adnotacji @PreAuthorize oraz weryfikacji własności lub dzierżawy pozwala na odczyt wrażliwych danych procesu, takich jak zmienne formularzy, tożsamości osób zatwierdzających, komentarze oraz XML BPMN.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych danych procesowych, w tym danych osobowych i biznesowych, co może prowadzić do naruszenia przepisów o ochronie danych oraz utraty zaufania klientów.

Rekomendacja

Należy niezwłocznie zaktualizować yudao-cloud do wersji 2026.06 lub nowszej, a także dodać odpowiednie adnotacje @PreAuthorize oraz mechanizmy weryfikacji własności i dzierżawy do wszystkich punktów końcowych modułu BPM.

Oryginalny opis (angielski, źródło NVD)

yudao-cloud before 2026.06 contains a broken access control vulnerability in the BPM module that allows any authenticated user to access arbitrary process instance records by supplying a caller-controlled process-instance identifier to an unprotected endpoint lacking the @PreAuthorize annotation. Attackers can query any process-instance identifier through the unguarded GET endpoint to read sensitive workflow data including submitted form variables, approver identities, approval and rejection comments, and process BPMN XML without ownership or tenant party verification.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS