Platform
php
Component
wimi-teamwork
Opgelost in
8.2.0
CVE-2026-35023 beschrijft een insecure direct object reference (IDOR) kwetsbaarheid in Wimi Teamwork On-Premises. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerd afbeeldingen te bekijken, mogelijk gevoelige informatie bloot te leggen. De kwetsbaarheid treft versies van Wimi Teamwork On-Premises van 0.0.0 tot en met 8.2.0. Een patch is beschikbaar in versie 8.2.0.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om afbeeldingen te bekijken die bedoeld zijn voor andere gebruikers of groepen binnen Wimi Teamwork. Door systematisch item_id waarden te proberen, kan de aanvaller toegang krijgen tot een breed scala aan afbeeldingen, inclusief mogelijk vertrouwelijke documenten, persoonlijke foto's of andere gevoelige data die in de applicatie zijn opgeslagen. De impact is verhoogd omdat de kwetsbaarheid het mogelijk maakt om data van andere gebruikers te bekijken, wat kan leiden tot schending van de privacy en mogelijk reputatieschade voor de organisatie die Wimi Teamwork gebruikt. Dit soort kwetsbaarheden kunnen vergelijkbare gevolgen hebben als andere IDOR-aanvallen, waarbij ongeautoriseerde toegang tot data mogelijk wordt gemaakt.
Op dit moment is er geen publieke exploitatie van CVE-2026-35023 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-04-08. De CVSS score is Medium (4.3), wat suggereert dat de kwetsbaarheid een redelijke kans heeft om te worden misbruikt, vooral als er geen onmiddellijke mitigatie wordt toegepast. Er is geen vermelding op de CISA KEV catalogus.
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-35023 is het upgraden van Wimi Teamwork On-Premises naar versie 8.2.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de preview.php endpoint via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om requests met onverwachte of sequentiele itemid waarden te blokkeren. Controleer de configuratie van Wimi Teamwork om te verzekeren dat autorisatie checks correct worden toegepast op alle endpoints die toegang verlenen tot gebruikersdata. Na de upgrade, bevestig de correctie door te proberen toegang te krijgen tot afbeeldingen van andere gebruikers met behulp van verschillende itemid waarden.
Werk Wimi Teamwork On-Premises bij naar versie 8.2.0 of hoger om de IDOR kwetsbaarheid te mitigeren. Deze update implementeert de benodigde autorisatie controles in de preview.php endpoint, waardoor ongeautoriseerde toegang tot afbeeldingen van private gesprekken wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
An IDOR (Insecure Direct Object Reference) vulnerability occurs when a web application uses an internal identifier to access an object without verifying if the user has permission to access it.
If you are using a version prior to 8.2.0, your installation is vulnerable. Update to the latest version to remediate the vulnerability.
Review server logs for suspicious activity. Consider performing a comprehensive security audit and notify affected users.
Restrict access to the preview.php endpoint from external networks and monitor server logs.
Consult the official Wimi Teamwork documentation or contact Wimi technical support.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.