← volver
CVE-2026-42098

Authorization Bypass in Sparx Enterprise Architect

CVSS 8.7 HIGHEPSS 0.4%CWE-603
En resumen

Sparx Enterprise Architect tiene una falla que permite a un atacante autenticado eludir las restricciones de rol de usuario modificando la aplicación cliente, lo que permite acceso como cualquier usuario—incluidos administradores—y realizar cambios no autorizados en el repositorio.

Detalle técnico

CWE-603 bypass de autorización en Sparx Enterprise Architect permite que un atacante autenticado eluda controles de acceso basados en roles manipulando el comportamiento del lado cliente (por ejemplo, mediante un depurador), posibilitando la suplantación de usuarios arbitrarios y la modificación completa del repositorio. Precondición: credenciales de autenticación válidas; impacto: pérdida total de la aplicación del control de acceso en todas las operaciones del repositorio. Confirmado en versión 17.1 y anteriores; otras versiones no probadas.

Resumen generado y traducido por IA a partir de la descripción oficial.
Sparx Enterprise Architect software has a security feature that limits user's actions to those specified in the role. An authenticated attacker can modify the Enterprise Architect client behavior (e.g. using a debugger) and log in as any other user or administrator - then it is possible to do every possible change to the repository. The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only version 17.1 and below were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
Sparx Systems · Enterprise Architect

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://cert.pl/en/posts/2026/05/CVE-2026-42096https://efigo.pl/blog/CVE-2026-42096/https://sparxsystems.com/products/ea/https://sploit.tech/2026/05/19/Sparx-Enterprise-Architect-PCS.html