Plataforma
php
Componente
wimi-teamwork
Corrigido em
8.2.0
Uma vulnerabilidade de Insecure Direct Object Reference (IDOR) foi descoberta no Wimi Teamwork On-Premises, afetando versões anteriores à 8.2.0. Essa falha reside no endpoint preview.php, onde o parâmetro item_id não possui verificações de autorização adequadas. Exploração bem-sucedida pode levar à divulgação não autorizada de imagens privadas de outros usuários, comprometendo a confidencialidade das conversas. A correção para esta vulnerabilidade está disponível na versão 8.2.0.
A vulnerabilidade IDOR em Wimi Teamwork permite que um atacante explore a falta de controles de acesso ao endpoint preview.php. Ao enumerar sequencialmente os valores do parâmetro item_id, um invasor pode contornar as verificações de autorização e acessar imagens de visualização pertencentes a outros usuários, mesmo que essas imagens sejam privadas ou pertencentes a grupos específicos. O impacto principal é a divulgação não autorizada de informações sensíveis contidas nessas imagens, o que pode comprometer a confidencialidade de conversas e dados compartilhados dentro da plataforma. A ausência de controles de acesso adequados amplia o potencial de ataque, permitindo que um atacante obtenha acesso a um grande volume de informações privadas sem a necessidade de credenciais válidas.
A vulnerabilidade CVE-2026-35023 foi divulgada em 2026-04-08. Não há informações disponíveis sobre a adição desta CVE ao KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há Proof of Concept (PoC) públicos amplamente divulgados, mas a natureza da vulnerabilidade IDOR a torna passível de exploração por atacantes com conhecimento técnico. É recomendável monitorar a situação e implementar as medidas de mitigação recomendadas para reduzir o risco de exploração.
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-35023 é a atualização imediata para a versão 8.2.0 do Wimi Teamwork On-Premises. Se a atualização imediata não for possível, implemente controles de acesso mais rigorosos no endpoint preview.php, garantindo que apenas usuários autorizados possam acessar imagens específicas. Considere a implementação de uma camada de proteção com um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentem acessar imagens sem a autorização adequada. Monitore os logs do servidor em busca de tentativas de acesso não autorizado ao endpoint preview.php, utilizando padrões de acesso anormais como indicadores de atividade suspeita. Após a atualização, confirme a correção verificando se o acesso a imagens de outros usuários é bloqueado ao tentar manipular o parâmetro item_id.
Actualice Wimi Teamwork On-Premises a la versión 8.2.0 o superior para mitigar la vulnerabilidad IDOR. Esta actualización implementa las verificaciones de autorización necesarias en el endpoint preview.php, previniendo el acceso no autorizado a imágenes de conversaciones privadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
An IDOR (Insecure Direct Object Reference) vulnerability occurs when a web application uses an internal identifier to access an object without verifying if the user has permission to access it.
If you are using a version prior to 8.2.0, your installation is vulnerable. Update to the latest version to remediate the vulnerability.
Review server logs for suspicious activity. Consider performing a comprehensive security audit and notify affected users.
Restrict access to the preview.php endpoint from external networks and monitor server logs.
Consult the official Wimi Teamwork documentation or contact Wimi technical support.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.