HIGHCVE-2026-32252CVSS 7.7

Chartbrew 在 `GET /team/:team_id/template/generate/:project_id` 中存在跨租户模板导出和密钥泄露

Q: CVE-2026-32252 是什么 — Chartbrew 中的漏洞？

这意味着用户可以在应用程序中的不同 '租户' 或团队中访问不属于他们的资源（例如项目）。

Q: Chartbrew 中的 CVE-2026-32252 是否会影响我？

限制对 `/team/:team_id/template/generate/:project_id` 路由的访问并监控应用程序日志。

Q: 如何修复 Chartbrew 中的 CVE-2026-32252？

不，他们只需要在应用程序中进行身份验证。

Q: CVE-2026-32252 是否正在被积极利用？

存储在项目中的敏感数据，例如数据库、API 和图表配置信息。

Q: 在哪里可以找到 Chartbrew 关于 CVE-2026-32252 的官方安全通告？

目前没有特定的工具，但建议进行渗透测试和安全审计。

平台

nodejs

组件

chartbrew

修复版本

4.9.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-32252 是 Chartbrew 应用程序中的一个安全漏洞，该应用程序允许直接连接到数据库和 API 以创建图表。该漏洞允许经过身份验证的攻击者绕过租户授权机制，从而可能访问其他团队的项目模板。该漏洞影响 Chartbrew 版本 0.0.0 到 4.8.9。 4.9.0 版本已经修复了此问题。

影响与攻击场景

CVE-2026-32252 影响 Chartbrew，这是一款用于从数据库和 API 数据创建图表的开源 Web 应用程序。该漏洞的 CVSS 评分为 7.7，属于跨租户授权绕过。这意味着经过身份验证的攻击者可以在没有适当授权的情况下访问其他用户或团队拥有的项目。具体而言，该漏洞存在于 /team/:teamid/template/generate/:projectid 路由中，系统未能正确验证提供的 projectid 是否属于指定的 teamid 或调用方的团队。未能等待 checkAccess 返回的 Promise 会加剧问题，从而允许绕过访问控制检查。潜在影响包括查看、修改或删除其他用户拥有的敏感数据，从而损害机密性和完整性。

利用背景

Chartbrew 中经过身份验证但未被授权访问特定项目的攻击者可以利用此漏洞。攻击者将向 /team/:teamid/template/generate/:projectid 发送 GET 请求，其中 teamid 是攻击者不属于的团队的 ID，projectid 是该团队中的一个项目的 ID。由于验证不足，系统将生成该项目的模板，从而可能泄露敏感信息或允许数据操作。需要攻击者的预先身份验证，但缺乏强大的授权控制允许绕过标准保护。

哪些人处于风险中翻译中…

Organizations utilizing Chartbrew for data visualization and reporting, particularly those with multiple teams or users sharing access to the application, are at risk. Environments with relaxed access control policies or where template generation permissions are broadly granted are especially vulnerable.

检测步骤翻译中…

• nodejs / server:

# Check for Chartbrew processes and versions
ps aux | grep chartbrew

• generic web:

# Check access logs for suspicious requests to /team/:team_id/template/generate/:project_id
grep '/team/[0-9]+/template/generate/' /var/log/apache2/access.log

攻击时间线

2026-04-10Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (8% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件chartbrew

供应商chartbrew

影响范围修复版本

< 4.9.0 – < 4.9.04.9.1

弱点分类 (CWE)

CWE-285

时间线

已保留2026-03-11
发布日期2026-04-10
修改日期2026-04-13
EPSS 更新日期2026-04-18

缓解措施和替代方案

解决 CVE-2026-32252 的方法是将 Chartbrew 更新到 4.9.0 或更高版本。此版本通过实施对 projectid 属于正确 teamid 的适当验证来修复该漏洞。在等待更新期间，建议限制对 /team/:teamid/template/generate/:projectid 路由的访问，仅允许具有最小权限的授权用户。此外，请监控应用程序日志中与模板生成相关的可疑活动，这可能表明存在利用尝试。实施这些缓解措施对于降低对数据的未经授权访问的风险至关重要。

修复方法翻译中…

Actualice a la versión 4.9.0 o posterior para corregir la vulnerabilidad de bypass de autorización entre inquilinos. Esta actualización implementa una verificación adecuada para garantizar que los proyectos accedidos pertenezcan al equipo del solicitante, previniendo la exposición de datos de otros equipos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-32252 是什么 — Chartbrew 中的漏洞？