Platform
nodejs
Component
chartbrew
Opgelost in
4.9.1
CVE-2026-32252 beschrijft een cross-tenant authorization bypass kwetsbaarheid in Chartbrew, een open-source web applicatie voor het visualiseren van data. Deze kwetsbaarheid treedt op in de GET /team/:teamid/template/generate/:projectid endpoint, waar de toegang niet correct wordt geverifieerd. Hierdoor kan een geauthenticeerde aanvaller met template-generatie permissies in zijn eigen team, de template modellen van andere projecten opvragen. De kwetsbaarheid treft versies van Chartbrew onder 4.9.0.
CVE-2026-32252 treft Chartbrew, een open-source webapplicatie voor het maken van grafieken uit database- en API-gegevens. De kwetsbaarheid, beoordeeld met een CVSS-score van 7,7, is een cross-tenant autorisatie-omzeiling. Dit betekent dat een geauthenticeerde aanvaller toegang kan krijgen tot projecten die behoren tot andere gebruikers of teams zonder de juiste autorisatie. Specifiek ligt de kwetsbaarheid in de route /team/:teamid/template/generate/:projectid waar het systeem niet correct verifieert of de opgegeven projectid behoort tot de gespecificeerde teamid of tot het team van de aanroeper. Het niet afwachten van de promise die door checkAccess wordt geretourneerd, verergert het probleem, waardoor toegangscontroles kunnen worden omzeild. De potentiële impact omvat het bekijken, wijzigen of zelfs verwijderen van gevoelige gegevens die behoren tot andere gebruikers, waardoor vertrouwelijkheid en integriteit in gevaar komen.
Een geauthenticeerde aanvaller in Chartbrew, maar niet geautoriseerd om toegang te krijgen tot het specifieke project, zou deze kwetsbaarheid kunnen exploiteren. De aanvaller zou een GET-verzoek sturen naar /team/:teamid/template/generate/:projectid, waarbij teamid de ID is van een team waar de aanvaller niet toe behoort en projectid de ID is van een project binnen dat team. Vanwege de onvoldoende verificatie zou het systeem de sjabloon van het project genereren, mogelijk gevoelige informatie prijsgeven of gegevensmanipulatie mogelijk maken. Eerdere authenticatie van de aanvaller is vereist, maar het ontbreken van robuuste autorisatiecontroles maakt het omzeilen van standaardbeschermingen mogelijk.
Organizations utilizing Chartbrew for data visualization and reporting, particularly those with multiple teams or users sharing access to the application, are at risk. Environments with relaxed access control policies or where template generation permissions are broadly granted are especially vulnerable.
• nodejs / server:
# Check for Chartbrew processes and versions
ps aux | grep chartbrew• generic web:
# Check access logs for suspicious requests to /team/:team_id/template/generate/:project_id
grep '/team/[0-9]+/template/generate/' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
De oplossing voor CVE-2026-32252 is het updaten van Chartbrew naar versie 4.9.0 of hoger. Deze versie corrigeert de kwetsbaarheid door een correcte verificatie van de toewijding van de projectid aan de juiste teamid te implementeren. Terwijl u wacht op de update, wordt aanbevolen om de toegang tot de route /team/:teamid/template/generate/:projectid te beperken tot geautoriseerde gebruikers met minimale privileges. Bewaak bovendien de applicatielogboeken op verdachte activiteiten die verband houden met sjabloongeneratie, wat een poging tot exploitatie kan signaleren. Het implementeren van deze mitigerende maatregelen is cruciaal om het risico van ongeautoriseerde toegang tot gegevens te verminderen.
Actualice a la versión 4.9.0 o posterior para corregir la vulnerabilidad de bypass de autorización entre inquilinos. Esta actualización implementa una verificación adecuada para garantizar que los proyectos accedidos pertenezcan al equipo del solicitante, previniendo la exposición de datos de otros equipos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het betekent dat een gebruiker toegang kan krijgen tot resources (zoals projecten) die niet aan hem of haar toebehoren binnen verschillende 'tenants' of teams in de applicatie.
Beperk de toegang tot de route /team/:teamid/template/generate/:projectid en bewaak de applicatielogboeken.
Nee, hij of zij hoeft zich alleen maar te authentiseren in de applicatie.
Gevoelige gegevens die zijn opgeslagen in de projecten, zoals database-, API- en grafische configuratie-informatie.
Momenteel zijn er geen specifieke tools, maar penetratietesten en beveiligingsaudits worden aanbevolen.
CVSS-vector
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.