CVE-2026-23638

Kiteworks Secure Data Forms is vulnerable to Authorization Bypass Through User-Controlled Key

CVSS 6.5 MEDIUMEPSS 0.2%CWE-639

En resumen

Kiteworks Secure Data Forms tiene una falla que permite a usuarios autenticados modificar configuraciones y flujos de aprobación de formularios de otros usuarios, porque el sistema no verifica adecuadamente la propiedad de cada formulario. Esto permite que atacantes eludan controles de acceso e interfieran en los procesos empresariales ajenos.

Detalle técnico

Una vulnerabilidad de IDOR existe en Kiteworks Secure Data Forms (anterior a la versión 9.3.0) donde usuarios autenticados pueden alterar configuraciones de flujo de aprobación de formularios pertenecientes a otros usuarios debido a verificaciones de autorización insuficientes sobre la propiedad de recursos. El vector de ataque es basado en red y requiere autenticación previa; el impacto incluye modificación no autorizada de flujos de trabajo y procesos de aprobación.

Resumen generado y traducido por IA a partir de la descripción oficial.

Kiteworks is a private data network (PDN). Prior to version 9.3.0, an Insecure Direct Object Reference (IDOR) vulnerability in Kiteworks Secure Data Forms allows an authenticated attacker to tamper with the internal approval flow configurations of forms belonging to other users due to insufficient authorization checks on resource ownership. Upgrade Kiteworks to version 9.3.0 or later to receive a patch.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Productos afectados

kiteworks · Secure Data Forms

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/kiteworks/security-advisories/security/advisories/GHSA-8wmh-mg2h-hf46