Plataforma
nodejs
Componente
chartbrew
Corrigido em
4.9.1
O Chartbrew, uma aplicação web de código aberto que permite conectar-se diretamente a bancos de dados e APIs para criar gráficos, apresenta uma vulnerabilidade de bypass de autorização. Um atacante autenticado com permissões de geração de modelo em sua própria equipe pode solicitar o modelo de projeto de outro usuário, explorando uma falha na verificação de acesso. Essa vulnerabilidade afeta versões do Chartbrew de 0.0.0 até 4.8.9. A correção foi implementada na versão 4.9.0.
CVE-2026-32252 afeta o Chartbrew, um aplicativo web de código aberto para criar gráficos a partir de dados de bancos de dados e APIs. A vulnerabilidade, classificada com um CVSS de 7.7, é uma falha de autorização entre inquilinos. Isso significa que um atacante autenticado pode acessar projetos pertencentes a outros usuários ou equipes sem a devida autorização. Especificamente, a vulnerabilidade reside na rota /team/:teamid/template/generate/:projectid onde o sistema não verifica corretamente se o projectid fornecido pertence ao teamid especificado ou à equipe do chamador. A falta de espera pela promessa retornada por checkAccess agrava o problema, permitindo a evasão dos controles de acesso. O impacto potencial inclui a visualização, modificação ou até mesmo a exclusão de dados sensíveis pertencentes a outros usuários, comprometendo a confidencialidade e a integridade.
Um atacante autenticado no Chartbrew, mas não autorizado a acessar o projeto específico, pode explorar esta vulnerabilidade. O atacante enviaria uma solicitação GET para /team/:teamid/template/generate/:projectid, onde teamid é o ID de uma equipe à qual o atacante não pertence e projectid é o ID de um projeto dentro dessa equipe. Devido à verificação inadequada, o sistema geraria o modelo do projeto, revelando potencialmente informações confidenciais ou permitindo a manipulação de dados. A autenticação prévia do atacante é necessária, mas a falta de controles de autorização robustos permite a evasão das proteções padrão.
Organizations utilizing Chartbrew for data visualization and reporting, particularly those with multiple teams or users sharing access to the application, are at risk. Environments with relaxed access control policies or where template generation permissions are broadly granted are especially vulnerable.
• nodejs / server:
# Check for Chartbrew processes and versions
ps aux | grep chartbrew• generic web:
# Check access logs for suspicious requests to /team/:team_id/template/generate/:project_id
grep '/team/[0-9]+/template/generate/' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-32252 é atualizar o Chartbrew para a versão 4.9.0 ou superior. Esta versão corrige a vulnerabilidade implementando uma verificação adequada da pertinência do projectid ao teamid correto. Enquanto aguarda a atualização, recomenda-se restringir o acesso à rota /team/:teamid/template/generate/:projectid apenas a usuários autorizados com privilégios mínimos. Além disso, monitore os logs da aplicação em busca de atividades suspeitas relacionadas à geração de modelos, o que pode indicar uma tentativa de exploração. A implementação dessas medidas de mitigação é crucial para reduzir o risco de acesso não autorizado aos dados.
Actualice a la versión 4.9.0 o posterior para corregir la vulnerabilidad de bypass de autorización entre inquilinos. Esta actualización implementa una verificación adecuada para garantizar que los proyectos accedidos pertenezcan al equipo del solicitante, previniendo la exposición de datos de otros equipos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que um usuário pode acessar recursos (como projetos) que não lhe pertencem dentro de diferentes 'inquilinos' ou equipes na aplicação.
Restrinja o acesso à rota /team/:teamid/template/generate/:projectid e monitore os logs da aplicação.
Não, ele só precisa estar autenticado na aplicação.
Dados sensíveis armazenados nos projetos, como informações de bancos de dados, APIs e configurações de gráficos.
Atualmente, não existem ferramentas específicas, mas é recomendável realizar testes de penetração e auditorias de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.